RBAC

本节介绍了使用 rancher-cis-benchmark 应用所需的权限。默认情况下只有集群管理员才可以使用rancher-cis-benchmark应用。

但是,rancher-cis-benchmarkchart 安装了以下两个默认的ClusterRoles:cis-admin 和 Home

在 Rancher 中,只有集群所有者和全局管理员默认拥有cis-admin访问权限。

注意

如果您使用的是 Rancher v2.5 设置中添加的cis-edit角色,那么它现在已经被删除了。因为在 Rancher v2.5.2 中因为cis-edit本质上和cis-admin是一样的。如果你碰巧创建了任何集群角色绑定。请将cis-edit替换为cis-admin

Cluster-Admin 权限

Rancher CIS 扫描在默认情况下是一个仅有集群管理员的功能,这意味着只有 Rancher 全局管理员,以及集群的集群所有者可以执行以下功能:

  • 安装和卸载 rancher-CIS-benchmark 应用。
  • 查看 CIS 基准 CRD 的导航链接—ClusterScanBenchmarks、ClusterScanProfiles 和 ClusterScans。
  • 列出默认的 ClusterScanBenchmarks 和 ClusterScanProfiles。
  • 创建、编辑和删除新的 ClusterScanProfiles。
  • 创建、编辑和删除一个新的 ClusterScan,以便在集群上运行 CIS 扫描。
  • 查看和下载在 ClusterScan 完成后创建的 ClusterScanReport。

Kubernetes 默认角色的默认权限摘要

rancher-sis-benchmark 创建了三个ClusterRoles,并将 CIS 基准 CRD 的访问权限添加到以下默认的 K8sClusterRoles中。

chart 创建的 ClusterRoleK8s 默认的 ClusterRole角色权限
cis-adminadmin能够 CRUD clusterscanbenchmarks, clusterscanprofiles, clusterscans, clusterscanreports CR。
cis-viewview能够列出(R) clusterscanbenchmarks, clusterscanprofiles, clusterscans, clusterscanreports CR。

默认情况下,只有集群所有者角色才有能力管理和使用 rancher-cis-benchmark功能。

其他 Rancher 角色(集群成员、项目所有者、项目成员)没有任何默认权限来管理和使用 rancher-cis-benchmark 资源。

但是如果集群所有者想要将访问权委托给其他用户,可以通过在这些用户和上述 CIS 集群角色之间手动创建 ClusterRoleBindings 来实现。 对于 rancher-cis-benchmarkClusterRoles 不支持自动角色聚合。