Red Hat SummitYou are viewing documentation for a release that is no longer maintained. To view the documentation for the most recent version, see the latest RHACS docs.
13.4. Red Hat Advanced Cluster Security for Kubernetes での RBAC の管理
Red Hat Advanced Cluster Security for Kubernetes (RHACS) には、ロールを設定し、さまざまなユーザーに Red Hat Advanced Cluster Security for Kubernetes へのさまざまなレベルのアクセスを許可するのに使用できるロールベースのアクセス制御 (RBAC) が付属しています。
Red Hat Advanced Cluster Security for Kubernetes 3.63 には、特定の Red Hat Advanced Cluster Security for Kubernetes ユーザーまたはユーザーグループが Red Hat Advanced Cluster Security for Kubernetes と対話する方法、アクセスできるリソース、実行できるアクションを定義するきめ細かい特定の権限セットを設定できるスコープ付きアクセス制御機能が含まれています。
ロール は、権限セットとアクセススコープの集まりです。ルールを指定することにより、ユーザーおよびグループにロールを割り当てることができます。これらのルールは、認証プロバイダーを設定するときに設定できます。Red Hat Advanced Cluster Security for Kubernetes には 2 つのタイプのロールがあります。
- Red Hat によって作成され、変更できないシステムロール。
Red Hat Advanced Cluster Security for Kubernetes 管理者がいつでも作成および変更できるカスタムロール。
注記- ユーザーに複数のロールを割り当てると、割り当てられたロールの組み合わせた権限にアクセスできます。
- カスタムロールにユーザーが割り当てられていて、そのロールを削除すると、関連付けられているすべてのユーザーが、設定した最小アクセ出力ルに転送されます。
アクセス許可セット は、特定のリソースに対してロールが実行できるアクションを定義する権限のセットです。リソース は、Red Hat Advanced Cluster Security for Kubernetes の機能であり、表示 (
読み取り) および変更 (書き込み) 権限を設定できます。Red Hat Advanced Cluster Security for Kubernetes には、次の 2 種類の権限セットがあります。- Red Hat によって作成され、変更できないシステム権限セット。
- Red Hat Advanced Cluster Security for Kubernetes 管理者がいつでも作成および変更できるカスタム権限セット。
アクセススコープ は、ユーザーがアクセスできる Kubernetes および OpenShift Container Platform リソースのセットです。たとえば、ユーザーが特定のプロジェクトの Pod に関する情報にのみアクセスできるようにするアクセススコープを定義できます。Red Hat Advanced Cluster Security for Kubernetes には、次の 2 種類のアクセススコープがあります。
- Red Hat により作成され、変更できないシステムアクセススコープ。
- Red Hat Advanced Cluster Security for Kubernetes 管理者がいつでも作成および変更できるカスタムアクセススコープ。
13.4.1. システムロール
Red Hat Advanced Cluster Security for Kubernetes には、ルールの作成時にユーザーに適用できるデフォルトのシステムロールがいくつか含まれています。必要に応じて、カスタムロールを作成することもできます。
| システムロール | 説明 |
|---|---|
| Admin | このロールは管理者を対象としています。これを使用して、すべてのリソースへの読み取りおよび書き込みアクセスを提供します。 |
| Analyst | このロールは、変更を加えることはできないが、すべてを表示できるユーザーを対象としています。これを使用して、すべてのリソースに読み取り専用アクセスを提供します。 |
| Continuous Integration | このロールは、CI (継続的インテグレーション) システムを対象としており、デプロイメントポリシーを適用するのに必要なアクセス許可セットが含まれています。 |
| なし | このロールには、リソースへの読み取りおよび書き込みアクセス権がありません。このロールを、すべてのユーザーの最小アクセ出力ルとして設定できます。 |
| Sensor Creator | Red Hat Advanced Cluster Security for Kubernetes は、このロールを使用して新しいクラスターのセットアップを自動化します。これには、セキュアなクラスターに Sensors を作成する権限セットが含まれます。 |
| Scope Manager | このロールには、アクセススコープの作成および変更に必要な最小限の権限が含まれます。 |
13.4.1.1. システムロールの権限セットおよびアクセス範囲の表示
デフォルトのシステムロールの権限セットおよびアクセス範囲を表示できます。
手順
-
RHACS ポータルで、Platform Configuration
Access control に移動します。 - Roles を選択します。
- ロールの 1 つをクリックして、その詳細を表示します。詳細ページには、選択されたロールの権限セットおよびアクセス範囲が表示されます。
デフォルトのシステムロールの権限セットおよびアクセス範囲を変更することはできません。
13.4.1.2. カスタムロールの作成
アクセス制御 ビューから新しいロールを作成できます。
前提条件
-
カスタムロールを作成、変更、および削除するには、Admin ロール、または
AuthProviderおよびRoleリソースの読み取りおよび書き込み権限を持つロールが必要です。 - ロールを作成する前に、カスタムロールの権限セットおよびアクセススコープを作成する必要があります。
手順
-
RHACS ポータルで、Platform Configuration
Access control に移動します。 - Roles タブを選択します。
- Add role をクリックします。
- 新しいロールの Name および Description を入力します。
- ロールの 権限セット を選択します。
- ロールの アクセススコープ を選択します。
- Save をクリックします。
13.4.1.3. ユーザーまたはグループへのロールの割り当て
RHACS ポータルを使用して、ユーザーまたはグループにロールを割り当てることができます。
手順
-
RHACS ポータルで、Platform Configuration
Access Control に移動します。 - 認証プロバイダーの一覧から、認証プロバイダーを選択します。
- Edit minimum role and rules をクリックします。
- Rules セクションで、Add new rule をクリックします。
-
Key で、
userid、name、email、またはgroupから 1 つ選択します。 - Value に、選択したキーに基づいたユーザー ID、名前、電子メールアドレス、またはグループの値を入力します。
- Role ドロップダウンメニューをクリックして、割り当てるロールを選択します。
- Save をクリックします。
ユーザーまたはグループごとにこれらの手順を繰り返し、異なるロールを割り当てることができます。
13.4.2. システム権限セット
Red Hat Advanced Cluster Security for Kubernetes には、ロールに適用できるデフォルトのシステム権限セットがいくつか含まれています。必要に応じて、カスタム権限セットを作成することもできます。
| パーミッションセット | 説明 |
|---|---|
| Admin | すべてのリソースへの読み取りおよび書き込みアクセスを提供します。 |
| Analyst | すべてのリソースに読み取り専用アクセスを提供します。 |
| Continuous Integration | このアクセス許可セットは、CI (継続的インテグレーション) システムを対象としており、デプロイメントポリシーを適用するのに必要なアクセス許可が含まれています。 |
| None | どのリソースにも読み取りおよび書き込み権限は許可されていません。 |
| Sensor Creator | セキュリティー保護されたクラスターでセンサーの作成に必要なリソースのパーミッションを提供します。 |
13.4.2.1. システム権限セットの権限の表示
RHACS ポータルで設定されたシステム権限の権限を表示できます。
手順
-
RHACS ポータルで、Platform Configuration
Access control に移動します。 - Permission sets を選択します。
- 権限セットの 1 つをクリックして、その詳細を表示します。詳細ページには、選択した権限セットに対するリソースおよびその権限の一覧が表示されます。
システム権限セットの権限を変更することはできません。
13.4.2.2. カスタム権限セットの作成
Access Control ビューから新しいアクセス許可セットを作成できます。
前提条件
-
管理者 ロール、または権限セットを作成、変更、および削除するには、
AuthProviderリソースおよびRoleリソースの読み取りおよび書き込み権限を持つ権限セットを持つロールが必要です。
手順
-
RHACS ポータルで、Platform Configuration
Access control に移動します。 - Permission sets タブを選択します。
- Add permission set をクリックします。
- 新しい権限セットの Name および Description を入力します。
リソースごとに、Access level 列で、
No access、Read access、Read and Write accessのいずれかのアクセス許可を選択します。警告ユーザーに権限セットを設定する場合は、次のリソースに読み取り専用の権限を付与する必要があります。
-
Alert -
Cluster -
Deployment -
Image -
NetworkPolicy -
NetworkGraph -
Policy -
Secret
-
- これらの権限は、新しい権限セットを作成するときに事前に選択されています。
- これらの権限を付与しない場合、ユーザーは RHACS ポータルでページを表示する際に問題が発生します。
- Save をクリックします。
13.4.3. システムアクセススコープ
Red Hat Advanced Cluster Security for Kubernetes には、ロールに適用できるデフォルトのシステムアクセススコープがいくつか含まれています。必要に応じて、カスタムアクセススコープを作成することもできます。
| アクセススコープ | 説明 |
|---|---|
| Unrestricted | Red Hat Advanced Cluster Security for Kubernetes が監視するすべてのクラスターと namespace へのアクセスを提供します。 |
| Deny All | Kubernetes および OpenShift Container Platform リソースへのアクセスを提供しません。 |
13.4.3.1. システムアクセススコープの詳細の表示
RHACS ポータルで、アクセススコープで許可されているまたは許可されていない Kubernetes および OpenShift Container Platform リソースを表示できます。
手順
-
RHACS ポータルで、Platform Configuration
Access control に移動します。 - Access scopes を選択します。
- アクセススコープの 1 つをクリックして、その詳細を表示します。詳細ページには、クラスターおよび名前空間の一覧、および選択したアクセススコープで許可されているものが表示されます。
システムアクセススコープに許可されているリソースを変更することはできません。
13.4.3.2. カスタムアクセススコープの作成
アクセス制御 ビューから新しいアクセススコープを作成できます。
前提条件
-
管理者 ロール、または権限セットを作成、変更、および削除するには、
AuthProviderリソースおよびRoleリソースの読み取りおよび書き込み権限を持つ権限セットを持つロールが必要です。
手順
-
RHACS ポータルで、Platform Configuration
Access control に移動します。 - Access scope タブを選択します。
- Add access scope をクリックします。
- 新しいアクセススコープの 名前 と 説明 を入力します。
Allowed resources セクションの下で、以下を行います。
- Cluster filter および Namespace filter ボックスを使用して、一覧に表示されているクラスターおよび名前空間の一覧をフィルターリングします。
- <Cluster_name> を展開して、そのクラスター内の namespace の一覧を表示します。
クラスターの Manual selection 列の下にあるトグルをオンにして、そのクラスター内のすべての namespace へのアクセスを許可します。
注記特定のクラスターへのアクセスにより、ユーザーはクラスターのスコープ内の次のリソースにアクセスできます。
- OpenShift Container Platform または Kubernetes クラスターのメタデータおよびセキュリティー情報
- 許可されたクラスターのコンプライアンス情報
- ノードのメタデータおよびセキュリティー情報
- そのクラスター内のすべての名前空間とそれに関連するセキュリティー情報へのアクセス
namespace の Manual selection 列の下にあるトグルをオンにして、その namespace へのアクセスを許可します。
注記特定の namespace にアクセスすると、namespace のスコープ内で次の情報にアクセスできます。
- デプロイメントに関するアラートおよび違反
- イメージの脆弱性データ
- デプロイメントメタデータおよびセキュリティー情報
- ロールおよびユーザー情報
- デプロイメントのネットワークグラフ、ポリシー、およびベースライン情報
- プロセス情報およびプロセスベースライン設定
- 各デプロイメントの優先リスク情報
- ラベルに基づいてクラスターおよび namespace へのアクセスを許可する場合は、Label selection rules セクションの Add label selector をクリックします。次に、Add rules をクリックして、ラベルセレクターの キー と 値 のペアを指定します。クラスターおよび namespace のラベルを指定できます。
- Save をクリックします。
13.4.4. リソース定義
Red Hat Advanced Cluster Security for Kubernetes には、複数のリソースが含まれています。次の表に、リソースと、ユーザーが read または write 権限で実行できるアクションを示します。
| リソース | 権限の読み取り | 書き込み許可 |
|---|---|---|
| APIToken | 既存の API トークンを一覧表示します。 | 新しい API トークンを作成するか、既存のトークンを取り消します。 |
| Alert | 既存のポリシー違反を表示します。 | ポリシー違反を解決または編集します。 |
| AuthPlugin | 既存の認証プラグインを表示します。 | これらの設定を変更します。(ローカル管理者のみ。) |
| AuthProvider | シングルサインオンの既存の設定を表示します。 | これらの設定を変更します。 |
| BackupPlugins | AWS S3 などの自動バックアップシステムとの既存の統合を表示します。 | これらの設定を変更します。 |
| CVE | 内部でのみ使用 | 内部でのみ使用 |
| Cluster | 既存の保護されたクラスターを表示します。 | 新しい保護されたクラスターを追加し、既存のクラスターを変更または削除します。 |
| Compliance | コンプライアンス基準および結果を表示します。 | 該当なし |
| ComplianceRunSchedule | スケジュールされたコンプライアンス実行を表示します。 | スケジュールされたコンプライアンス実行を作成、変更、または削除します。 |
| ComplianceRuns | 最近のコンプライアンス実行およびその完了ステータスを表示します。 | コンプライアンスの実行をトリガーします。 |
| Config | データ保持、セキュリティー通知、およびその他の関連設定のオプションを表示します。 | これらの設定を変更します。 |
| DebugLogs | Red Hat Advanced Cluster Security for Kubernetes コンポーネントで現在のロギングの詳細レベルを表示します。 | ロギングレベルを変更します。 |
| Deployment | 保護されたクラスター内のデプロイメント (ワークロード) を表示します。 | 該当なし |
| Detection | イメージまたはデプロイメント YAML のビルド時ポリシーを確認します。 | 該当なし |
| Group | ユーザーメタデータを Red Hat Advanced Cluster Security for Kubernetes に一致させる既存の RBAC ルールを表示します。 | 設定済みの RBAC ルールを作成、変更、または削除します。 |
| Image | イメージ、そのコンポーネント、およびそれらの脆弱性を表示します。 | 該当なし |
| ImageComponent | 内部でのみ使用 | 内部でのみ使用 |
| ImageIntegration | 既存のイメージレジストリー統合を一覧表示します。 | イメージレジストリー統合を作成、編集、または削除します。 |
| ImbuedLogs | 内部でのみ使用 | 内部でのみ使用 |
| Indicator | デプロイメントのプロセスアクティビティーを表示します。 | 該当なし |
| K8sRole | 保護されたクラスターでの Kubernetes ロールベースのアクセス制御のロールを表示します。 | 該当なし |
| K8sRoleBinding | 保護されたクラスターでの Kubernetes ロールベースのアクセス制御のロールバインディングを表示します。 | 該当なし |
| K8sSubject | 保護されたクラスターでの Kubernetes ロールベースのアクセス制御のユーザーとグループを表示します。 | 該当なし |
| Licenses | Red Hat Advanced Cluster Security for Kubernetes の既存のライセンスのステータスを表示します。 | 新しいライセンスキーをアップロードします。 |
| Namespace | 保護されたクラスター内の既存の Kubernetes namespace を表示します。 | 該当なし |
| NetworkGraph | 保護されたクラスター内のアクティブで許可されたネットワーク接続を表示します。 | 該当なし |
| NetworkPolicy | 保護されたクラスター内の既存のネットワークポリシーを表示し、変更をシミュレートします。 | 保護されたクラスターにネットワークポリシーの変更を適用します。 |
| Node | セキュリティーで保護されたクラスター内の既存の Kubernetes ノードを表示します。 | 該当なし |
| Notifier | 電子メール、Jira、Webhook などの通知システムの既存の統合を表示します。 | これらの統合を作成、変更、または削除します。 |
| Policy | 既存のシステムポリシーを表示します。 | システムポリシーを作成、変更、または削除します。 |
| ProbeUpload | アップロードされたプローブファイルのマニフェストを読み取ります。 | Central にサポートパッケージをアップロードします。 |
| ProcessWhitelist | プロセスベースラインを表示します。 | ベースラインからプロセスを追加または削除します。 |
| Risk | リスク結果を表示します。 | 該当なし |
| Role | 既存の Red Hat Advanced Cluster Security for Kubernetes RBAC ロールおよびその権限を表示します。 | ロールおよびその権限を追加、変更、または削除します。 |
| ScannerBundle | スキャナーバンドルをダウンロードします。 | 該当なし |
| ScannerDefinitions | 既存のイメージスキャナー統合を一覧表示します。 | イメージスキャナー統合を作成、変更、または削除します。 |
| Secret | 保護されたクラスターのシークレットに関するメタデータを表示します。 | 該当なし |
| SensorUpgradeConfig | 自動アップグレードのステータスを確認します。 | 保護されたクラスターの自動アップグレードを無効または有効にします。 |
| ServiceAccount | セキュリティーで保護されたクラスター内の Kubernetes サービスアカウントを一覧表示します。 | 該当なし |
| ServiceIdentity | Red Hat Advanced Cluster Security for Kubernetes サービス間認証に関するメタデータを表示します。 | サービス間認証の認証情報を取り消すか、再発行します。 |
| User | 認証プロバイダーが提供するメタデータを含め、Red Hat Advanced Cluster Security for Kubernetes インスタンスにアクセスしたユーザーを表示します。 | 該当なし |
