ユーザと役割

ユーザーとカスタムロールの設定

設定 → ユーザーとロールメニューでは、ユーザーとロールの管理が可能です。各ユーザーには、事前定義されたロールまたはカスタムロールが割り当てられます。ユーザーは、LDAP/ADや他のSSOシステムとのグループ統合を通じてロールにマッピングできます。各種ディレクトリおよびSSO統合の詳細な手順については、エンタープライズ統合セクションをご参照ください。

ユーザ

ユーザーは、SUSE® Security で直接設定するか、ディレクトリ/SSOを通じて統合できます。SUSE® Security で新しいユーザーを作成するには、設定 → ユーザーとロールに移動し、ユーザーを追加します。事前定義されたロールからユーザーのロールを選択するか、下記を参照してカスタムロールを作成してください。

デフォルトのパスワード要件は、最小8文字の長さ、1つの大文字、1つの小文字、1つの数字です。これらの要件やその他の要件は、管理者が設定 → ユーザーの認証とセキュリティポリシーの下で変更できます。

ネームスペース制限ユーザー

ユーザーは特定のネームスペースに制限されることがあります。まず、グローバルロールを選択します(グローバルロールが不要な場合は「なし」を使用)、次に詳細設定をクリックします。

ロールのリストからロール名を選択し、ユーザーが許可されたネームスペースを入力します。例えば、以下はグローバルリーダー(表示のみ)ロールですが、ネームスペース「demo」ではユーザーに管理者権限があり、ネームスペース「staging」ではユーザーにCI/Ops権限があります。以前に設定されたカスタムロールがあれば、それも選択できます。

namespace_user

ユーザーが以前にエンタープライズ統合を通じてログインしている場合、そのアイデンティティプロバイダー(例:OpenID Connect)が表示されます。マルチクラスター管理が使用されている場合、ユーザーを選択して編集することで、ユーザーをフェデレーテッド管理者に昇格させることができます。

名前空間制限ユーザーが SUSE® Security のアセットでレジストリを設定すると、そのネームスペースにアクセスできるユーザーのみがそのレジストリを表示/スキャンできます。グローバルユーザーはそのレジストリを表示/管理できますが、制限されたネームスペース/ロールを持つユーザーはできません。

役割

プリコンフィグされたロールには、管理者、リーダー、およびCI/Opsが含まれます。新しいカスタムロールを作成するには、設定の→ユーザーとロールタブを選択します。ロールに名前を付け、適切な読み取りまたは書き込み権限を追加します。

ロール

RBAC権限

  • アドミッションコントロール。アドミッションコントロールルールを管理します。

  • 監査イベント。通知 → リスクレポートログを表示します。

  • 認証。ディレクトリおよびSSO(oidc/saml/ldap)設定を有効にします。

  • 承認。新しいユーザーとカスタムロールを作成します。

  • CIスキャン。REST APIを通じてイメージのスキャンを許可します。ビルドフェーズ用プラグインスキャナーのユーザーを設定するのに便利です。

  • コンプライアンス。カスタムコンプライアンススクリプトを作成し、コンプライアンスチェック結果をレビューします。

  • イベント。アクセス通知 → イベントログ。

  • レジストリスキャン。レジストリスキャンを設定し、結果を表示します。

  • ランタイムポリシー。ポリシーモード(発見、監視、保護)、ネットワークルール、プロセスルール、ファイルアクセスルール、DLP、パケットキャプチャ、応答ルールのポリシーメニューを管理します。

  • ランタイムスキャン。コンテナ/ノード/プラットフォームのランタイム脆弱性スキャンをトリガーし、表示します。

  • セキュリティイベント。アクセス通知 → セキュリティイベントログ。

  • システム設定。設定 → の構成を許可します。

グループをロールとネームスペースにマッピングする。

グループは、SUSE® Security のプリセットまたはカスタムロールにマッピングできます。さらに、ロールは1つ以上のネームスペースに制限できます。

設定のLDAP/AD、SAML、またはOIDC構成では、構成画面の最後のセクションでグループをロールとネームスペースにマッピングします。マッピングのために、デフォルトロールを最初に選択します。

DefaultRole

グループをロールとネームスペースにマッピングするには、追加をクリックして新しいマッピングを作成します。グローバルロールまたはなしを選択します。adminまたはFedAdminが選択されている場合、これはすべてのネームスペースへの書き込みアクセスを与えます。異なるロールが選択されると、希望するネームスペースを選択することでさらに制限できます。

AddMapping

以下の例は、いくつかの可能なマッピングを提供します。Demo_adminはすべてのネームスペースを読み取り/表示できますが、demoおよびdemo2ネームスペースに対する管理権限を持っています。System_adminはkube-systemネームスペースに対する管理権限のみを持っています。 そして、fed_adminsは、複数のクラスター全体のすべてのリソースに書き込みアクセスを与えるプリセットのfedAdminロールを持っています。

MappingExamples

ユーザーが複数のグループに所属している場合、ロールはリストに記載された順序で「最初に一致した」ものが割り当てられます。マッピングをリスト内の適切な順序にドラッグアンドドロップすることで、正しい動作のために設定の順序を調整してください。

プライマリおよびリモート管理のためのマルチクラスターFedAdminおよび管理ロール

クラスターが昇格してプライマリクラスターになると、管理者は自動的にFedAdminになります。FedAdminは、リモートクラスターを接続するためのフェデレーショントークンを生成したり、ネットワーク、プロセス、ファイル、およびアドミッションコントロールルールなどのフェデレーテッドセキュリティルールを作成したりするなど、プライマリ上で操作を実行できます。

マルチクラスター管理ロールは次のとおりです:

  • 任意のクラスターで、ローカル管理者またはRancher SSO管理者がそのクラスターをプライマリに昇格させることができます。

  • 管理ロールを持つLdap/SSO/SAML/OIDCユーザーは、クラスターをプライマリに昇格させることができません。

  • リモートクラスターをプライマリに参加させるために必要なトークンを生成できるのは、FedAdminのみです。

  • トークンを持っている場合、ldap/sso/saml/oidcユーザーを含む任意の管理者がリモートクラスターをプライマリに参加させることができます。

  • 新しいユーザーをFedAdmin(またはFedReader)として作成したり、既存のユーザーにFedAdmin(またはFedReader)ロールを割り当てたりできるのは、FedAdminのみです(ldap/sso/saml/oidcユーザーを含む)。