RBAC

本文介绍使用 rancher-cis-benchmark 应用所需的权限。

默认情况下,rancher-cis-benchmark 是集群管理员独有的功能。

但是,rancher-cis-benchmark Chart 安装了这两个默认的 ClusterRole

  • cis-admin
  • cis-view

在 Rancher 中,默认情况下只有集群所有者和全局管理员具有 cis-admin 访问权限。

注意:如果你使用在 Rancher 2.5 中添加的 cis-edit 角色,该角色从 2.5.2 开始已被删除,删除的原因是该角色本质上与 cis-admin 相同。如果你为 cis-edit 创建了任何 clusterrolebinding,请更新这些绑定以使用 cis-admin ClusterRole。

Cluster-Admin 访问

默认情况下,Rancher CIS 扫描是集群管理员独有的功能。 换言之,只有 Rancher 全局管理员和集群的集群所有者可以:

  • 安装/卸载 rancher-cis-benchmark 应用。
  • 查看 CIS Benchmark CRD 的导航链接 - ClusterScanBenchmarks、ClusterScanProfiles、ClusterScans。
  • 列出默认的 ClusterScanBenchmarks 和 ClusterScanProfiles。
  • 创建/编辑/删除新的 ClusterScanProfiles。
  • 创建/编辑/删除新的 ClusterScan,从而在集群上运行 CIS 扫描。
  • 在 ClusterScan 完成后查看并下载 ClusterScanReport。

Kubernetes 默认角色的默认权限摘要

rancher-cis-benchmark 创建了三个 ClusterRole,并将 CIS Benchmark CRD 访问权限添加到以下默认 K8s ClusterRole

Chart 创建的 ClusterRole默认 K8s ClusterRole角色赋予的权限
cis-adminadmin增刪查改(CRUD)clusterscanbenchmarks、clusterscanprofiles、clusterscans、clusterscanreports CR
cis-viewview列出 (R) clusterscanbenchmarks、clusterscanprofiles、clusterscans、clusterscanreports CR

默认情况下,只有 cluster-owner 角色能管理和使用 rancher-cis-benchmark 功能。

默认情况下,其他 Rancher 角色(cluster-member、project-owner 和 project-member)没有管理和使用 rancher-cis-benchmark 资源的权限。

但是,如果 cluster-owner 想将访问权限分配给其他用户,他们可以手动创建目标用户与上述 CIS ClusterRole 之间的 ClusterRoleBinding,从而实现权限分配。 rancher-cis-benchmark ClusterRole 不支持自动角色聚合。