Documentation survey

RBAC

本文介绍使用 rancher-compliance 应用所需的权限。

默认情况下,rancher-compliance 是集群管理员独有的功能。

但是,rancher-compliance Chart 安装了这两个默认的 ClusterRole

  • compliance-admin

  • compliance-view

在 Rancher 中,默认情况下只有集群所有者和全局管理员具有 compliance-admin 访问权限。

Cluster-Admin 访问

默认情况下,Rancher compliance 扫描是集群管理员独有的功能。 换言之,只有 Rancher 全局管理员和集群的集群所有者可以:

  • 安装/卸载 rancher-compliance 应用。

  • 查看 Compliance CRD 的导航链接 - ClusterScanBenchmarks、ClusterScanProfiles、ClusterScans。

  • 列出默认的 ClusterScanBenchmarks 和 ClusterScanProfiles。

  • 创建/编辑/删除新的 ClusterScanProfiles。

  • 创建/编辑/删除新的 ClusterScan,从而在集群上运行 compliance 扫描。

  • 在 ClusterScan 完成后查看并下载 ClusterScanReport。

Kubernetes 默认角色的默认权限摘要

rancher-compliance 创建了三个 ClusterRole,并将 Compliance CRD 访问权限添加到以下默认 K8s ClusterRole

Chart 创建的 ClusterRole 默认 K8s ClusterRole 角色赋予的权限

compliance-admin

admin

增刪查改(CRUD)clusterscanbenchmarks、clusterscanprofiles、clusterscans、clusterscanreports CR

compliance-view

`view `

列出 ® clusterscanbenchmarks、clusterscanprofiles、clusterscans、clusterscanreports CR

默认情况下,只有 cluster-owner 角色能管理和使用 rancher-compliance 功能。

默认情况下,其他 Rancher 角色(cluster-member、project-owner 和 project-member)没有管理和使用 rancher-compliance 资源的权限。

但是,如果 cluster-owner 想将访问权限分配给其他用户,他们可以手动创建目标用户与上述 compliance ClusterRole 之间的 ClusterRoleBinding,从而实现权限分配。 rancher-compliance ClusterRole 不支持自动角色聚合。