Для доступа к панели управления Container Security у пользователя должна быть назначена одна из сервисный ролей:
k8s.admin — администратор Managed Kubernetes.
k8s.user — пользователь Managed Kubernetes.
evocs.admin — администратор Container Security.
evocs.user — пользователь Container Security.
Уровень доступа пользователей к функциональным возможностям Container Security определяется глобальной ролью в Container Security или ролью на отдельные действия.
Глобальная роль — набор разрешений, которые предоставляют пользователю доступ к объектам Container Security на уровне всего кластера, в который он установлен.
По умолчанию в Container Security доступны следующие глобальные роли:
admin — настройка конфигураций, просмотр отчетов и управление пользователями.
Включает все разрешения, описанные для режима «Управление и чтение» таблицы «Разрешения на отдельные действия».
reader — глобальная роль только на просмотр.
Включает все разрешения, описанные для режима «Только чтение» таблицы «Разрешения на отдельные действия», кроме разрешения «Исключения из политик допуска».
Пользователю может быть назначена только одна глобальная роль.
Пользователи с ролями на сервисы Managed Kubernetes и Container Security получают аналогичные глобальные роли в Container Security.
Сервисная роль | Глобальная роль Container Security |
|---|---|
k8s.admin или evocs.admin | admin |
k8s.user или evocs.user | user |
Если у пользователя несколько ролей на сервисы Managed Kubernetes и Container Security, то в Container Security будет назначена глобальная роль с наивысшими правами. Например, у пользователя назначены роли k8s.admin и evocs.user, значит он получит глобальную роль в Container Security — admin.
Администратор Container Security может создавать роли на отдельные действия и назначать их определенным пользователям. Разрешения для создания ролей описаны в таблице.
Разрешение | Управление и чтение | Только чтение |
|---|---|---|
Авторизация | Управление пользовательскими ролями. | Просмотр пользователей и пользовательских ролей. |
Системные настройки | Управление конфигурациями системы. | Просмотр конфигураций системы. |
Сканирование образов | Настройка сканирования образов на уязвимости на этапе сборки и просмотр результатов сканирования. | Просмотр результатов сканирования образов на уязвимости на этапе сборки. |
Runtime-политики | Управление режимами политик, сетевыми правилами, правилами обработки, захвата пакетов, правил ответа. | Просмотр режимов политик, сетевых правил, правил обработки, захвата пакетов, правил ответа. |
Политики допуска | Создание и изменение политик контроля допуска, просмотр конфигураций политик контроля допуска и отчетов. | Просмотр конфигураций политик контроля допуска и отчетов. |
Отчеты по политикам допуска | Просмотр отчетов о применении политик допуска к объектам в кластере. | |
Исключения из политик допуска | Создание и изменение исключений из политик контроля допуска, просмотр конфигураций политик контроля допуска и отчетов. | Просмотр конфигураций исключений из политик контроля допуска и отчетов. |
Уязвимости | Просмотр и настройка отчета по уязвимостям. | Просмотр отчета по уязвимостям. |
События безопасности | Просмотр событий безопасности. | |
Анализ RBAC | Просмотр опасных ролей. | |