Разрешения на основе ролей

Материал из Документация Ключ-АСТРОМ
Перенос ролей в политики

рекомендуется

Ключ-АСТРОМ версии 1.252+

Начиная с версии Ключ-АСТРОМ 1.252, вы можете управлять доступом на основе ролей с помощью политик. Подробнее см. в статье Обновление разрешений на основе ролей для политик Ключ-АСТРОМ IAM.

Перейдите в раздел Управление учетной записью — для получения более подробной информации см. раздел Управление учетной записью.

Разрешения учетной записи

Ключ-АСТРОМ предоставляет следующие разрешения на уровне учетной записи.

  • Просмотр учётной записи: предоставляет доступ к учётной записи для просмотра данных среды (часов хоста, сеансов, синтетических мониторов) и ссылок на документацию Ключ-АСТРОМ. Также предоставляет доступ к просмотру и созданию запросов в службу поддержки и форуму пользователей Ключ-АСТРОМ Community. Доступ к выставлению счетов и управлению пользователями/группами отсутствует.
  • Просмотр и управление учетной записью и платежной информацией: обеспечивает доступ к платежным данным (данным кредитной карты), платежным данным (счетам-фактурам) и контактной информации (контактным данным компании).
  • Просмотр и управление пользователями и группами: обеспечивает доступ к управлению пользователями (добавление, редактирование, удаление членства пользователей в группах) и управлению группами (создание, редактирование, удаление групп).

Разрешения среды

Ключ-АСТРОМ предоставляет следующие разрешения на уровне среды. Выберите все подходящие варианты:

  • Просмотр среды: разрешает доступ к среде только для чтения. С помощью этого разрешения невозможно изменить настройки или установить ЕдиныйАгент.
Разрешение «Просмотр среды» требуется для любого другого разрешения среды, поэтому при выборе любого другого разрешения среды для среды автоматически выбирается разрешение « Просмотр среды».
  • Просмотр конфиденциальных данных запроса: позволяет просматривать потенциально персональные данные, собранные Ключ-АСТРОМ, включая загрузку дампов памяти. Пользователи без этого разрешения видят, что точка данных существует, но персональные данные скрыты звёздочками (*****). Также позволяет вручную запускать дампы памяти.
  • Просмотр логов: обеспечивает доступ к конфиденциальным данным файлов логов на вкладке Логи.
Роль Просмотра логов обходит любой существующий условный доступ, который вы могли определить в границах политики через разрешение Логи хранения. Чтобы соблюдать эти условия, рассмотрите возможность указания тех же разрешений Просмотра логов в операторе политики, используя эквивалентное разрешение Просмотр логов среды.
  • Воспроизведение данных сеанса с маскировкой: позволяет воспроизводить записанные сеансы пользователей с применением правил маскирования воспроизведения во время воспроизведения. Обратите внимание, что любые данные, замаскированные во время записи, никогда не сохраняются и, следовательно, всегда маскируются во время воспроизведения.
  • Воспроизведение данных сеанса без маскировки: позволяет воспроизводить записанные сеансы пользователя без применения правил маскировки воспроизведения. Обратите внимание, что любые данные, замаскированные во время записи, всегда будут замаскированы и во время воспроизведения.
  • Установить ЕдиныйАгент: позволяет загрузить ЕдиныйАгент и установить его на хосты. Для изменения/редактирования настроек необходимо предоставить разрешение Управление параметрами мониторинга.
  • Управление настройками мониторинга: позволяет изменять все параметры среды. Для установки ЕдиногоАгента необходимо предоставить разрешение Установить ЕдиныйАгент.
  • Управление сбором конфиденциальных данных запросов: позволяет настраивать правила сбора атрибутов запросов. Их можно использовать для сбора таких элементов, как HTTP-заголовки или параметры Post, для хранения, фильтрации и поиска. Также позволяет вручную запускать дампы памяти.
  • Управление заявками в службу поддержки: предоставляет доступ ко всем заявкам в службу поддержки, созданным для этой среды. Примечание: клиенты Ключ-АСТРОМ SaaS по умолчанию автоматически имеют доступ к чату и заявкам в службу поддержки, поэтому им не требуется это разрешение, если только им не нужен доступ ко всем заявкам в этой среде.
  • Управление проблемами безопасности: позволяет просматривать и управлять уязвимостями, о которых сообщает Ключ-АСТРОМ Application Security.
  • Просмотр проблем безопасности: позволяет просматривать (но не управлять) уязвимостями, о которых сообщает Ключ-АСТРОМ Application Security.

Подробную информацию о разрешениях безопасности приложений см. в разделе Тонкая настройка разрешений.

Разрешения менеджмент зон

Ключ-АСТРОМ предоставляет следующие разрешения на уровне менеджмент зон. Выберите все подходящие варианты:

  • Просмотр среды: обеспечивает доступ только для чтения к сущностям в менеджмент зонах. Для изменения/редактирования настроек необходимо предоставить разрешение Изменение параметров мониторинга.
Разрешение Просмотр среды требуется для любого другого разрешения менеджмент зоны, поэтому при выборе любого другого разрешения зоны управления для менеджмент зоны автоматически выбирается разрешение Просмотр среды.
  • Просмотр конфиденциальных данных запроса: позволяет просматривать потенциально персональные данные, собранные Ключ-АСТРОМ для сущностей в менеджмент зоне. Пользователи без этого разрешения видят, что точка данных существует, но персональные данные скрыты звёздочками (*****) — см. также раздел Разрешения среды выше.
  • Просмотр логов: обеспечивает доступ к конфиденциальным данным файлов логов на вкладке Логи для хостов, явно включённых в менеджмент зону. Обратите внимание, что недостаточно предоставить доступ на уровне менеджмент зоны к группам хостов, к которым принадлежат эти хосты — подробности см. в разделе Правила менеджмент зоны.
  • Воспроизведение данных сеанса с маскировкой: позволяет воспроизводить записанные сеансы пользователей с применением правил маскирования воспроизведения во время воспроизведения. Обратите внимание, что любые данные, замаскированные во время записи, никогда не сохраняются и, следовательно, всегда маскируются во время воспроизведения.
  • Воспроизведение данных сеанса без маскировки: позволяет воспроизводить записанные сеансы пользователя без применения правил маскировки воспроизведения. Обратите внимание, что любые данные, замаскированные во время записи, всегда будут замаскированы и во время воспроизведения.
Чтобы разрешения на воспроизведение сеанса работали в зоне управления, пользователю также необходимо иметь доступ к необходимым приложениям.
  • Если сеанс пользователя охватывает несколько приложений, не все из которых назначены зоне управления, пользователи смогут видеть и воспроизводить сеанс. Однако действия пользователя, связанные с приложением, к которому у вас нет доступа, маскируются, и соответствующая часть воспроизведения не отображается.
  • Кнопки воспроизведения неактивны для пользователей, имеющих доступ к приложениям, но не имеющих разрешения на воспроизведение сеансов.

Пример страницы сведений о сеансе: настройки

Image4044.png


Пример страницы сведений о сеансе: уведомления

Image4045.png


  • Управление настройками мониторинга: позволяет изменять настройки сущностей в менеджмент зоне, например, записывать или редактировать синтетические мониторы. Оно также предоставляет доступ к некоторым пунктам меню глобальных настроек, но позволяет вносить изменения только в назначенные менеджмент зоны. Например, профили оповещения о проблемах можно создавать и изменять только для определенной менеджмент зоны.
  • Управление проблемами безопасности: позволяет просматривать и управлять уязвимостями, о которых сообщает Ключ-АСТРОМ Application Security.
  • Просмотр проблем безопасности: позволяет просматривать (но не управлять) уязвимостями, о которых сообщает Ключ-АСТРОМ Application Security.

Подробную информацию о разрешениях безопасности приложений см. в разделе Тонкая настройка разрешений.

Взаимосвязь между разрешениями на среду и зону управления

При предоставлении любого разрешения, отличного от разрешения Просмотр среды, на уровне среды, автоматически включается и разрешение Просмотр среды. Аналогично, при предоставлении любого разрешения, отличного от разрешения Просмотр среды, на уровне менеджмент зоны, автоматически включается разрешение Просмотр среды для менеджмент зоны.

Менеджмент зоны предназначены для предоставления целевого и ограниченного доступа к определённым объектам в среде. Если вы хотите предоставить пользователям разрешение на доступ к менеджмент зоне, рекомендуем использовать разрешения уровня менеджмент зоны. Любое разрешение, предоставленное на уровне среды, заменяет и дополняет разрешения на уровне менеджмент зоны. Другими словами, разрешения менеджмент зоны нельзя использовать для ограничения разрешений, уже предоставленных на уровне среды.

Рассмотрим пример менеджмент зоны, содержащей три из пяти хостов в среде. Если предоставить менеджмент зоне разрешение Просмотр логов, посетители смогут видеть вкладку Логи с информацией для трёх хостов в менеджмент зоне. Однако, если удалить это же разрешение на уровне менеджмент зоны и предоставить его на уровне среды, пользователи смогут:

  • Получить доступ ко всем менеджмент зонам через фильтр в строке меню.
  • При просмотре всех зон управления просматривать вкладку Логи для всех пяти хостов в среде.
  • Просмотреть вкладку Логи для трех хостов в назначенной менеджмент зоне, когда они переключатся на нее.
Источник — https://doc.fit4u.kz/index.php?title=Разрешения_на_основе_ролей&oldid=5692