RBAC

本文介绍使用 rancher-compliance 应用所需的权限。

默认情况下，rancher-compliance 是集群管理员独有的功能。

但是，rancher-compliance Chart 安装了这两个默认的 ClusterRole：

在 Rancher 中，默认情况下只有集群所有者和全局管理员具有 compliance-admin 访问权限。

Cluster-Admin 访问

默认情况下，Rancher compliance 扫描是集群管理员独有的功能。换言之，只有 Rancher 全局管理员和集群的集群所有者可以：

安装/卸载 rancher-compliance 应用。
查看 Compliance CRD 的导航链接 - ClusterScanBenchmarks、ClusterScanProfiles、ClusterScans。
列出默认的 ClusterScanBenchmarks 和 ClusterScanProfiles。
创建/编辑/删除新的 ClusterScanProfiles。
创建/编辑/删除新的 ClusterScan，从而在集群上运行 compliance 扫描。
在 ClusterScan 完成后查看并下载 ClusterScanReport。

rancher-compliance 创建了三个 ClusterRole，并将 Compliance CRD 访问权限添加到以下默认 K8s ClusterRole：

Chart 创建的 ClusterRole 默认 K8s ClusterRole 角色赋予的权限

Chart 创建的 ClusterRole	默认 K8s ClusterRole	角色赋予的权限
`compliance-admin`	`admin`	增刪查改（CRUD）clusterscanbenchmarks、clusterscanprofiles、clusterscans、clusterscanreports CR
`compliance-view`	`view `	列出 ® clusterscanbenchmarks、clusterscanprofiles、clusterscans、clusterscanreports CR

compliance-admin

admin

增刪查改（CRUD）clusterscanbenchmarks、clusterscanprofiles、clusterscans、clusterscanreports CR

compliance-view

`view `

列出 ® clusterscanbenchmarks、clusterscanprofiles、clusterscans、clusterscanreports CR

默认情况下，只有 cluster-owner 角色能管理和使用 rancher-compliance 功能。

默认情况下，其他 Rancher 角色（cluster-member、project-owner 和 project-member）没有管理和使用 rancher-compliance 资源的权限。

但是，如果 cluster-owner 想将访问权限分配给其他用户，他们可以手动创建目标用户与上述 compliance ClusterRole 之间的 ClusterRoleBinding，从而实现权限分配。 rancher-compliance ClusterRole 不支持自动角色聚合。