Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

15.4. 管理 Red Hat Advanced Cluster Security for Kubernetes 中的 RBAC

Red Hat Advanced Cluster Security for Kubernetes (RHACS)附带基于角色的访问控制(RBAC),您可以使用它来配置角色,并为不同的用户授予 Red Hat Advanced Cluster Security for Kubernetes 的各种访问权限。

Red Hat Advanced Cluster Security for Kubernetes 3.63 包括了一个范围的访问控制功能,它可让您配置精细和特定权限集,用于定义给定 Red Hat Advanced Cluster Security for Kubernetes 用户或一组用户可以与 Red Hat Advanced Cluster Security for Kubernetes 进行交互,哪些资源可以访问哪些资源,以及他们可以执行的操作。

  • 角色是 权限集和访问权限范围的集合。您可以通过指定规则来为用户和组分配角色。您可以在配置身份验证供应商时配置这些规则。Red Hat Advanced Cluster Security for Kubernetes 中有两种角色:

    • 由红帽创建且不可更改的系统角色。

    • 自定义角色,Red Hat Advanced Cluster Security for Kubernetes 管理员可以随时创建和修改。

      注意
      • 如果您为用户分配多个角色,则它们可访问所分配角色的组合权限。
      • 如果将用户分配到自定义角色,并且您删除该角色,则所有关联的用户都转移到您配置的最低访问权限角色。

  • 权限集合 是一组定义角色对给定资源执行的操作。资源是 Red Hat Advanced Cluster Security for Kubernetes 的功能,您可以设置视图(读取)和修改(写入)权限。Red Hat Advanced Cluster Security for Kubernetes 中有两种权限集:

    • 系统权限集,由红帽创建,且无法更改。
    • 自定义权限集,Red Hat Advanced Cluster Security for Kubernetes 管理员可以随时创建和修改。

  • 访问 范围是用户可以访问的一组 Kubernetes 和 OpenShift Container Platform 资源。例如,您可以定义访问权限范围,以允许用户访问给定项目中 pod 的信息。Red Hat Advanced Cluster Security for Kubernetes 中有两种访问范围:

    • 系统访问范围,这些范围由红帽创建,且不可更改。
    • 自定义访问范围,Red Hat Advanced Cluster Security for Kubernetes 管理员可以随时创建和修改。

15.4.1. 系统角色
复制链接

Red Hat Advanced Cluster Security for Kubernetes (RHACS)包含一些默认系统角色,您可以在创建规则时应用到用户。您还可以根据需要创建自定义角色。

Expand
系统角色Description

Admin

此角色针对管理员而设。使用它提供对所有资源的读写访问权限。

分析师

此角色针对无法进行任何更改的用户的目标,但可以查看一切。使用它为所有资源提供只读访问权限。

持续集成

此角色针对 CI (持续集成)系统,包括实施部署策略所需的权限设置。

此角色没有对任何资源的读写访问权限。您可以将此角色设置为所有用户的最低访问权限角色。

sensor Creator

RHACS 使用此角色自动执行新的集群设置。它包括在安全集群中创建 Sensors 的权限。

Scope Manager

此角色包括创建和修改访问范围所需的最低权限。

漏洞管理批准者

此角色允许您提供对批准漏洞延迟或假的正请求的访问权限。

漏洞管理请求者

此角色允许您提供对请求漏洞延迟或假的正状态的访问。

漏洞报告创建器

此角色允许您创建和管理漏洞报告配置,以进行调度的漏洞报告。

您可以查看默认系统角色的权限集和访问权限范围。

流程

  1. 在 RHACS 门户网站中,导航到 Platform Configuration Access control
  2. 选择 角色
  3. 单击其中一个角色来查看其详细信息。详情页面显示 slected 角色的权限集和访问权限范围。
注意

您无法修改默认系统角色的权限集和访问权限范围。

15.4.1.2. 创建自定义角色
复制链接

您可以从 Access Control 视图创建新角色。

前提条件

  • 您必须具有 Admin 角色,或使用为 AuthProviderRole 资源设置的权限设置角色,以创建、修改和删除自定义角色。
  • 创建权限集和自定义角色的访问权限范围,然后才能创建角色。

流程

  1. 在 RHACS 门户网站中,导航到 Platform Configuration Access Control
  2. 选择 角色
  3. 单击 Create role
  4. 为新角色输入 NameDescription
  5. 为角色选择 Permission 设置
  6. 角色选择访问权限范围
  7. Save

其他资源

15.4.1.3. 为用户或组分配角色
复制链接

您可以使用 RHACS 门户为用户或组分配角色。

流程

  1. 在 RHACS 门户网站中,导航到 Platform Configuration Access Control
  2. 从身份验证提供程序列表中,选择身份验证提供程序。
  3. Edit minimum role and rules
  4. Rules 部分下,点 Add new rule
  5. 对于" 密钥 ",从 userid 选择一项值,名称电子邮件 或组
  6. 对于 Value,根据您选择的键输入用户 ID、名称、电子邮件地址或组的值。
  7. Role 下拉菜单并选择您要分配的角色。
  8. Save

您可以为每个用户或组重复这些指令并分配不同的角色。

15.4.2. 系统权限集
复制链接

Red Hat Advanced Cluster Security for Kubernetes 包括一些可以应用到角色的默认系统权限集。您还可以根据需要创建自定义权限集。

Expand
权限设置Description

Admin

提供所有资源的读写访问权限。

分析师

为所有资源提供只读访问权限。

持续集成

此权限集是针对 CI (持续集成)系统的目标,并包含执行部署策略所需的权限。

任何资源都不允许使用读取和写入权限。

sensor Creator

为在安全集群中创建 Sensors 所需的资源提供权限。

15.4.2.1. 查看系统权限集的权限
复制链接

您可以查看 RHACS 门户中设置的系统权限。

流程

  1. 在 RHACS 门户网站中,导航到 Platform Configuration Access control
  2. 选择 Permission set
  3. 点击一个权限集来查看其详情。详情页面显示所选权限集的资源列表及其权限。
注意

您不能修改系统权限设置的权限。

15.4.2.2. 创建自定义权限集
复制链接

您可以从 Access Control 视图创建新权限集。

前提条件

  • 您必须具有 Admin 角色,或使用为 AuthProviderRole 资源设置的权限设置的角色来创建、修改和删除权限集。

流程

  1. 在 RHACS 门户网站中,导航到 Platform Configuration Access Control
  2. 选择 Permission set
  3. Create permissions set
  4. 为新权限集输入 NameDescription

  5. 对于每个资源,位于 Access level 列下,从 No accessRead accessRead and Write access 中选择一个权限。

    警告

    • 如果要为用户配置权限集,必须为以下资源授予只读权限:

      • 警报
      • 集群
      • Deployment
      • 镜像
      • NetworkPolicy
      • NetworkGraph
      • 策略
      • Secret
    • 当您创建新权限集时,会预先选择这些权限。
    • 如果您没有授予这些权限,则用户在 RHACS 门户网站中查看页面时将遇到问题。
  6. Save

15.4.3. 系统访问范围
复制链接

Red Hat Advanced Cluster Security for Kubernetes 包括了一些默认的系统访问范围,您可以在角色上应用它们。您还可以根据需要创建自定义访问范围。

Expand
cces 范围Description

不受限制的

提供对 Red Hat Advanced Cluster Security for Kubernetes 监控的所有集群和命名空间的访问权限。

拒绝所有

提供对任何 Kubernetes 和 OpenShift Container Platform 资源的访问权限。

15.4.3.1. 查看系统访问范围的详情
复制链接

您可以查看 RHACS 门户中允许访问范围的 Kubernetes 和 OpenShift Container Platform 资源。

流程

  1. 在 RHACS 门户网站中,导航到 Platform Configuration Access control
  2. 选择 Access scopes
  3. 单击其中一个访问范围来查看其详细信息。详情页面显示集群和命名空间列表,以及允许哪些访问范围。
注意

您不能修改系统访问范围允许的资源。

15.4.3.2. 创建自定义访问范围
复制链接

您可以从 Access Control 视图创建新的访问范围。

前提条件

  • 您必须具有 Admin 角色,或使用为 AuthProviderRole 资源设置的权限设置的角色来创建、修改和删除权限集。

流程

  1. 在 RHACS 门户网站中,导航到 Platform Configuration Access control
  2. 选择 Access scopes
  3. 单击 Create access scope
  4. 为新访问范围输入 NameDescription

  5. Allowed resources 部分下:

    • 使用 Cluster filterNamespace 过滤器字段过滤列表中可见的集群和命名空间列表。
    • 展开 Cluster name 以查看该集群中命名空间列表。

    • 要允许访问集群中的所有命名空间,在 Manual 选择 列中切换切换。

      注意

      对特定集群的访问允许用户在集群范围内访问以下资源:

      • OpenShift Container Platform 或 Kubernetes 集群元数据和安全信息
      • 授权集群的合规性信息
      • 节点元数据和安全信息
      • 访问该集群中的所有命名空间及其关联的安全信息

    • 要允许访问命名空间,在手动选择列中 切换 命名空间的切换。

      注意

      访问特定命名空间时,可以访问命名空间范围内以下信息:

      • 部署的警报和违反情况
      • 镜像的漏洞数据
      • 部署元数据和安全信息
      • 角色和用户信息
      • 部署的网络策略、策略和基准信息
      • 流程信息和流程基线配置
      • 为每个部署优先排序风险信息
  6. 如果要根据标签允许访问集群和命名空间,点 Label selection rules 部分下的 Add label selector。然后单击 Add rule,为标签选择器指定 KeyValue 对。您可以为集群和命名空间指定标签。
  7. Save

15.4.4. 资源定义
复制链接

Red Hat Advanced Cluster Security for Kubernetes 包含多个资源。下表列出了资源,并解释了带有 readwrite 权限的用户可以执行的操作。

Expand
资源读取权限写入权限

APIToken

列出现有的 API 令牌。

创建新的 API 令牌或撤销现有令牌。

警报

查看现有策略违反情况。

解决或编辑策略违反情况。

AuthPlugin

查看现有的验证插件

修改这些配置。(仅限本地管理员.)

AuthProvider

查看单点登录的现有配置。

修改这些配置。

BackupPlugins

查看现有与自动备份系统(如 AWS S3)的集成。

修改这些配置。

CVE

只限内部使用

只限内部使用

集群

查看现有的受保护集群。

添加新的受保护的集群,并修改或删除现有集群。

Compliance

查看合规性标准和结果。

N/A

ComplianceRunSchedule

查看调度的合规性运行。

创建、修改或删除调度的合规性运行。

ComplianceRuns

查看最近的合规性运行及其完成状态。

触发器合规性运行。

config

查看数据保留、安全通知和其他相关配置的选项。

修改这些配置。

DebugLogs

查看 Red Hat Advanced Cluster Security for Kubernetes 组件的当前日志详细程度。

修改日志级别。

Deployment

查看安全集群中的部署(工作负载)。

N/A

检测

根据镜像或部署 YAML 检查构建时策略。

N/A

查看与 Red Hat Advanced Cluster Security for Kubernetes 角色匹配的现有 RBAC 规则。

创建、修改或删除配置的 RBAC 规则。

镜像

查看镜像、组件及其漏洞。

N/A

ImageComponent

只限内部使用

只限内部使用

ImageIntegration

列出现有镜像 registry 集成。

创建、编辑或删除镜像 registry 集成。

ImbuedLogs

只限内部使用

只限内部使用

指示符

查看部署中的进程活动。

N/A

K8sRole

在安全集群中查看 Kubernetes 基于角色的访问控制的角色。

N/A

K8sRoleBinding

查看在安全集群中对 Kubernetes 基于角色的访问控制的角色绑定。

N/A

K8sSubject

查看在安全集群中对 Kubernetes 基于角色的访问控制的用户和组。

N/A

许可证

查看 Red Hat Advanced Cluster Security for Kubernetes 的现有许可证状态。

上传新的许可证密钥。

命名空间

查看安全集群中的现有 Kubernetes 命名空间。

N/A

NetworkGraph

查看安全集群中活跃且允许的网络连接。

N/A

NetworkPolicy

查看安全集群中的现有网络策略并模拟更改。

在安全的集群中应用网络策略更改。

节点

查看安全集群中的现有 Kubernetes 节点。

N/A

notifier

查看通知系统(如电子邮件、JIRA 或 webhook)的现有集成。

创建、修改或删除这些集成。

策略

查看现有的系统策略。

创建、修改或删除系统策略。

ProbeUpload

读取上传的探测文件清单。

将支持软件包上传到 Central。

ProcessWhitelist

查看流程基准.

从基线添加或删除进程。

风险

查看风险结果。

N/A

角色

查看现有的 Red Hat Advanced Cluster Security for Kubernetes RBAC 角色及其权限。

添加、修改或删除角色及其权限。

ScannerBundle

下载扫描程序捆绑包。

N/A

ScannerDefinitions

列出现有的镜像扫描程序集成。

创建、修改或删除镜像扫描程序集成。

Secret

查看安全集群中的 secret 元数据。

N/A

SensorUpgradeConfig

检查自动升级的状态。

为安全集群禁用或启用自动升级。

ServiceAccount

列出安全集群中的 Kubernetes 服务帐户。

N/A

ServiceIdentity

查看 Red Hat Advanced Cluster Security for Kubernetes 服务对服务身份验证的元数据。

撤销或重新发布服务到服务身份验证凭据。

User

查看已访问 Red Hat Advanced Cluster Security for Kubernetes 实例的用户,包括身份验证提供程序提供的元数据。

N/A

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat