|
この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。 |
役割
概要
SUSE Observability のすべてのユーザーには、対象と permissions のセットが割り当てられる必要があります。この組み合わせは役割と呼ばれます。役割は、特定のデータセットにアクセスできるユーザーのグループを説明します。SUSE Observability には、あらかじめ定義された役割のセットが付属しており、ニーズに合わせて役割を作成することもできます。
あらかじめ定義された役割
SUSE Observability には、4つのあらかじめ定義された役割があります:
-
Administrator - すべてのビューに完全にアクセスでき、すべての権限を持っています。
-
Power User - 通常、チームのために SUSE Observability を構成する必要があるユーザーに付与されますが、SUSE Observability の全体的な管理は行いません。
-
Kubernetes Troubleshooter - トラブルシューティングのために SUSE Observability を使用するために必要なすべての権限を持ち、モニターの有効/無効の切り替え、カスタムビューの作成、CLI の使用が含まれます。
-
Guest - SUSE Observability への読み取り専用アクセスを持っています。
各あらかじめ定義された SUSE Observability 役割に割り当てられた権限は以下に示されています。異なる権限の詳細と、それらを sts CLI を使用して管理する方法については、ロールベースのアクセス制御(RBAC)権限 を参照してください。
-
管理者
-
Power User
-
トラブルシュータ <:so>とらぶるしゅーた
-
ゲスト
Administrator 役割 (stackstate-admin):すべての権限が割り当てられています。
あらかじめ定義された Administrator 役割 (stackstate-admin) に割り当てられた権限は以下に示されており、これらは sts CLI を使用して取得されました。異なる権限の詳細と、それらを sts CLI を使用して管理する方法については、RBAC 権限 を参照してください。
❯ ./sts rbac describe-permissions --subject stackstate-admin
Got subject from the following subject sources: Static
PERMISSION | RESOURCE
create-dashboards | system
create-favorite-dashboards | system
create-favorite-views | system
create-ingestion-api-keys | system
create-metric-bindings | system
create-monitors | system
create-notifications | system
create-service-tokens | system
create-stackpack-configurations | system
create-views | system
delete-dashboards | system
delete-favorite-dashboards | system
delete-favorite-views | system
delete-ingestion-api-keys | system
delete-metric-bindings | system
delete-monitors | system
delete-notifications | system
delete-service-tokens | system
delete-stackpack-configurations | system
delete-sync-data | system
delete-views | system
execute-component-actions | system
execute-monitors | system
execute-restricted-scripts | system
execute-scripts | system
get-agents | system
get-api-tokens | system
get-dashboards | system
get-ingestion-api-keys | system
get-metric-bindings | system
get-metrics | system
get-monitors | system
get-notifications | system
get-permissions | system
get-service-tokens | system
get-settings | system
get-stackpacks | system
get-sync-data | system
get-system-notifications | system
get-topic-messages | system
get-topology | system
get-traces | system
get-views | system
update-dashboards | system
update-metric-bindings | system
update-metrics | system
update-monitors | system
update-notifications | system
update-permissions | system
update-scoped-permissions | system
update-settings | system
update-stackpack-configurations | system
update-stackpacks | system
update-views | system
update-visualization | systemPower User 役割 (stackstate-power-user) は、次の権限を除いて、すべての Administrator 権限を持っています:
-
execute-restricted-scripts -
update-permissions -
update-stackpacks
あらかじめ定義された Power User 役割 (stackstate-power-user) に割り当てられた権限は以下に示されており、これらは sts CLI を使用して取得されました。異なる権限の詳細と、それらを sts CLI を使用して管理する方法については、RBAC 権限 を参照してください。
❯ ./sts rbac describe-permissions --subject stackstate-power-user
Got subject from the following subject sources: Static
PERMISSION | RESOURCE
create-dashboards | system
create-favorite-dashboards | system
create-favorite-views | system
create-metric-bindings | system
create-monitors | system
create-notifications | system
create-stackpack-configurations | system
create-views | system
delete-dashboards | system
delete-favorite-dashboards | system
delete-favorite-views | system
delete-metric-bindings | system
delete-monitors | system
delete-notifications | system
delete-stackpack-configurations | system
delete-sync-data | system
execute-component-actions | system
execute-monitors | system
execute-scripts | system
get-agents | system
get-api-tokens | system
get-dashboards | system
get-metric-bindings | system
get-metrics | system
get-monitors | system
get-notifications | system
get-permissions | system
get-settings | system
get-stackpacks | system
get-sync-data | system
get-system-notifications | system
get-topic-messages | system
get-topology | system
get-traces | system
get-views | system
update-dashboards | system
update-metric-bindings | system
update-metrics | system
update-monitors | system
update-notifications | system
update-settings | system
update-stackpack-configurations | system
update-views | system
update-visualization | systemstackstate-k8s-troubleshooter`トラブルシューティングロール は、SUSE Observability で利用可能なすべてのデータにアクセスでき、ビューを作成し、モニターの有効/無効の切り替えが可能です。
あらかじめ定義されたトラブルシューティングロールに割り当てられた権限は以下に示されており、これらは sts CLI を使用して取得されました。異なる権限の詳細と、それらを sts CLI を使用して管理する方法については、RBAC 権限 を参照してください。
❯ ./sts rbac describe-permissions --subject stackstate-k8s-troubleshooter
Got subject from the following subject sources: Static
PERMISSION | RESOURCE
create-dashboards | system
create-favorite-dashboards | system
create-favorite-views | system
create-monitors | system
create-notifications | system
create-views | system
delete-dashboards | system
delete-favorite-dashboards | system
delete-favorite-views | system
delete-monitors | system
delete-notifications | system
delete-views | system
execute-monitors | system
get-agents | system
get-api-tokens | system
get-dashboards | system
get-metric-bindings | system
get-metrics | system
get-monitors | system
get-notifications | system
get-permissions | system
get-settings | system
get-stackpacks | system
get-system-notifications | system
get-topic-messages | system
get-traces | system
get-views | system
update-dashboards | system
update-monitors | system
update-notifications | system
update-stackpacks | system
update-views | system
update-visualization | systemstackstate-guest`Guest は SUSE Observability への読み取り専用アクセス権を持っています。
あらかじめ定義された Guest 役割に割り当てられた権限は以下に示されており、これらは sts CLI を使用して取得されました。異なる権限の詳細と、それらを sts CLI を使用して管理する方法については、RBAC 権限 を参照してください。
❯ ./sts rbac describe-permissions --subject stackstate-guest
Got subject from the following subject sources: Static
PERMISSION | RESOURCE
create-dashboards | system
create-favorite-dashboards | system
create-favorite-views | system
delete-dashboards | system
delete-favorite-dashboards | system
delete-favorite-views | system
get-api-tokens | system
get-dashboards | system
get-metric-bindings | system
get-metrics | system
get-monitors | system
get-notifications | system
get-permissions | system
get-settings | system
get-system-notifications | system
get-topic-messages | system
get-traces | system
get-views | system
update-dashboards | system
update-visualization | systemカスタムロール(設定RBAC)
常に利用可能な事前定義されたロール(stackstate-admin、stackstate-power-user、stackstate-k8s-troubleshooter、stackstate-guest)に加えて、カスタムロールを追加できます。カスタムロールを追加する方法はいくつかあります:
-
設定ファイルを介して、事前定義されたロールと同じ権限で
-
設定ファイルを介して、カスタム権限で
-
stsCLI を使用して、対象とその権限はデータベースに保存され、実行時に変更できます。
設定ファイルを介して追加されたロールは再起動が必要であり、そのため短期間のダウンタイムが発生します。CLI を使用して作成されたロールはデータベースに保存され、実行時に変更できます。
事前定義されたロールのカスタム名
事前定義された SUSE Observability ロールが適切であるが、外部認証プロバイダーがロールに異なる名前を持っている場合は、このオプションを使用してください。例えば、LDAP 認証プロバイダーが似ているが異なる名前のロールを持っている場合、これを YAML スニペットとして authentication.yaml に含めて、LDAP のロールに事前定義された同等のロールと同じ権限とスコープを与えます。
stackstate:
authentication:
roles:
guest: ["ldap-guest-role"]
powerUser: ["ldap-power-user-role"]
admin: ["ldap-admin-role"]
k8sTroubleshooter: ["ldap-troubleshooter-role"]SUSE Observability のインストール(または既に実行中のインスタンス)で使用するには、API が再起動されることに注意してください:
helm upgrade \
--install \
--namespace suse-observability \
--values values.yaml \
--values authentication.yaml \
suse-observability \
suse-observability/suse-observability設定ファイルを介したカスタムロール
`development-troubleshooter`という新しいロールを設定するには、事前定義されたトラブルシューティングロールと同じ権限を持ちますが、`dev-test`クラスターのみに適用されるように、このYAMLスニペットを`authentication.yaml`に含めてください:
stackstate:
authentication:
roles:
custom:
development-troubleshooter:
systemPermissions:
- create-dashboards
- create-favorite-dashboards
- create-favorite-views
- create-monitors
- create-notifications
- create-views
- delete-dashboards
- delete-favorite-dashboards
- delete-favorite-views
- delete-monitors
- delete-notifications
- delete-views
- execute-monitors
- get-agents
- get-api-tokens
- get-dashboards
- get-metric-bindings
- get-metrics
- get-monitors
- get-notifications
- get-permissions
- get-settings
- get-stackpacks
- get-system-notifications
- get-topic-messages
- get-traces
- get-views
- update-dashboards
- update-monitors
- update-notifications
- update-stackpacks
- update-views
- update-visualization
resourcePermissions:
get-topology:
- "cluster-name:dev-test"SUSE Observability のインストール(または既に実行中のインスタンス)で使用するには、API が再起動されることに注意してください:
helm upgrade \
--install \
--namespace suse-observability \
--values values.yaml \
--values authentication.yaml \
suse-observability \
suse-observability/suse-observabilityCLIを介したカスタムロール(監視RBAC)
`development-troubleshooter`という新しいロールを設定するには、通常のトラブルシューティングロールと同じ権限を持ちますが、`dev-test`クラスターのみに適用されるようにするため、新しい対象を作成する必要があります。さらに、この対象には必要な権限のセットを割り当てる必要があります:
-
対象を作成します(ロールと同じ名前で、ロールと対象の一致は名前ベースで大文字と小文字を区別します):
sts rbac create-subject --subject development-troubleshooter sts rbac grant --subject development-troubleshooter --permission get-topology --resource "cluster-name:dev-test"' -
設定された対象は、UIの一部にアクセスし、そこでアクションを実行するための権限が必要です。トラブルシューティングロールと同じ権限を付与するには、以下の例に従ってください:
sts rbac grant --subject development-troubleshooter --permission create-dashboards sts rbac grant --subject development-troubleshooter --permission create-favorite-dashboards sts rbac grant --subject development-troubleshooter --permission create-favorite-views sts rbac grant --subject development-troubleshooter --permission create-monitors sts rbac grant --subject development-troubleshooter --permission create-notifications sts rbac grant --subject development-troubleshooter --permission create-views sts rbac grant --subject development-troubleshooter --permission delete-dashboards sts rbac grant --subject development-troubleshooter --permission delete-favorite-dashboards sts rbac grant --subject development-troubleshooter --permission delete-favorite-views sts rbac grant --subject development-troubleshooter --permission delete-monitors sts rbac grant --subject development-troubleshooter --permission delete-notifications sts rbac grant --subject development-troubleshooter --permission delete-views sts rbac grant --subject development-troubleshooter --permission execute-monitors sts rbac grant --subject development-troubleshooter --permission get-agents sts rbac grant --subject development-troubleshooter --permission get-api-tokens sts rbac grant --subject development-troubleshooter --permission get-dashboards sts rbac grant --subject development-troubleshooter --permission get-metric-bindings sts rbac grant --subject development-troubleshooter --permission get-metrics sts rbac grant --subject development-troubleshooter --permission get-monitors sts rbac grant --subject development-troubleshooter --permission get-notifications sts rbac grant --subject development-troubleshooter --permission get-permissions sts rbac grant --subject development-troubleshooter --permission get-settings sts rbac grant --subject development-troubleshooter --permission get-stackpacks sts rbac grant --subject development-troubleshooter --permission get-system-notifications sts rbac grant --subject development-troubleshooter --permission get-topic-messages sts rbac grant --subject development-troubleshooter --permission get-traces sts rbac grant --subject development-troubleshooter --permission get-views sts rbac grant --subject development-troubleshooter --permission update-dashboards sts rbac grant --subject development-troubleshooter --permission update-monitors sts rbac grant --subject development-troubleshooter --permission update-notifications sts rbac grant --subject development-troubleshooter --permission update-stackpacks sts rbac grant --subject development-troubleshooter --permission update-views sts rbac grant --subject development-troubleshooter --permission update-visualization
対象の名前および権限は、大文字と小文字を区別しますのでご注意ください。