О ролях пользователей
Роль пользователя в Kaspersky Security для контейнеров представляет собой совокупность прав на выполнение определенных действий в веб-интерфейсе решения. В зависимости от роли пользователи имеют доступ к разным разделам и функциональным возможностям.
В Kaspersky Security для контейнеров используются системные роли со сформированными наборами прав доступа для выполнения типичных задач по защите контейнерных сред, а также пользовательские роли.
При первичной установке решения предлагаются следующие системные роли:
- Администратор Kaspersky Security для контейнеров (Administrator of Kaspersky Container Security) – эта роль предназначена для пользователей, отвечающих за развертывание и сопровождение инфраструктуры и системного программного обеспечения, необходимых для работы решения (например, операционные системы, сервера приложений, базы данных). Эти пользователи управляют учетными записями пользователей, ролями и доступами в Kaspersky Security для контейнеров.
В веб-интерфейсе эта роль обозначается аббревиатурой KCSADM.
- Администратор информационной безопасности (ИБ) (IS Administrator) – эта роль предназначена для пользователей, отвечающих за создание и управление учетными записями, ролями и доступами пользователей, внесение изменений в настройки, подключение публичных реестров образов, агентов и средств уведомления, а также настройку политик безопасности.
В веб-интерфейсе эта роль обозначается аббревиатурой ISADM.
- Аудитор ИБ (IS auditor) – эта роль предназначена для пользователей, осуществляющих просмотр ресурсов и списка пользователей решения, а также контроль результатов сканирования и проверок на соответствие стандартам.
В веб-интерфейсе эта роль обозначается аббревиатурой ISAUD.
- Сотрудник ИБ (IS officer) – эта роль предназначена для пользователей, осуществляющих просмотр и управление политиками безопасности, подключение публичных реестров образов, а также просмотр результатов анализа контейнеров сред выполнения проектов, в которых такие пользователи принимают непосредственное участие.
В веб-интерфейсе эта роль обозначается аббревиатурой ISOFF.
- Разработчик (Developer) – эта роль предназначена для пользователей, осуществляющих проверку на соответствие стандартам, просмотр результатов сканирования образов из реестров и CI/CD, ресурсов кластера и принятых рисков.
В веб-интерфейсе эта роль обозначается аббревиатурой DEV.
Вы можете назначать системные роли учетным записям пользователей при создании или изменении учетных записей.
Пользователю могут назначаться несколько ролей пользователя.
Если необходимость в какой-либо системной роли отсутствует, вы можете ее удалить.
Вы не можете удалить последнюю действующую системную роль с правами управления другими ролями.
Если имеющихся системных ролей недостаточно для составления набора прав доступа с требуемыми свойствами, вы можете создать собственные уникальные наборы прав в виде пользовательских ролей.
При создании пользовательских ролей необходимо продумать состав набора прав доступа к взаимосвязанным функциональным возможностям, например:
- Для настройки параметров и просмотра политик реагирования требуется право на просмотр интеграций с системами уведомлений. Если такое право не предоставлено, при настройке политики реагирования Kaspersky Security для контейнеров сообщит об ошибке.
- Права на управление политиками реагирования нужно предоставлять вместе с правами на управление уведомлениями, иначе вы не сможете в настройках политики выбрать средство уведомления.
- Для создания пользователя требуется право на просмотр и управление ролями. Если такое право не предоставлено, созданный пользователь будет видеть только информационную панель.
- Права на управление пользователями нужно предоставлять вместе с правами на управление ролями, иначе вы не сможете назначить роль при создании пользователя.
Вы можете назначать пользовательские роли учетным записям пользователей так же, как и системные роли. Кроме того, вы можете изменять параметры пользовательских ролей и удалять пользовательские роли.
При назначении ролям областей применения необходимо учитывать, что для реализации политики безопасности в рамках определенной области применения требуется назначить эту область применения одной из ваших ролей.
Если вы осуществили интеграцию решения с LDAP-сервером, то Kaspersky Security для контейнеров также принимает и отображает роли и группы пользователей из службы каталогов Active Directory.