О ролях пользователей

Доступ к функциональным возможностям Kaspersky Security для контейнеров через графический интерфейс и публичное API предоставляется пользователю в соответствии с его ролью. Роль – это набор прав и разрешений на управление решением. Когда роль назначается пользователю, он добавляется в соответствующую группу ролей. При отзыве роли пользователь удаляется из соответствующей группы ролей.

В Kaspersky Security для контейнеров используются системные роли со сформированными наборами прав доступа для выполнения типичных задач по защите контейнерных сред, а также пользовательские роли. По умолчанию решение предлагает следующие системные роли:

• Администратор доступа – эта роль предназначена для пользователей, отвечающих за развертывание и сопровождение инфраструктуры и системного программного обеспечения, необходимых для работы решения (например, операционные системы, сервера приложений, базы данных). Эти пользователи управляют учетными записями пользователей, ролями и доступами в Kaspersky Security для контейнеров.

  В веб-интерфейсе эта роль обозначается аббревиатурой kcsadm.

• Администратор информационной безопасности – эта роль предназначена для пользователей, отвечающих за создание и управление учетными записями, ролями и доступами пользователей, внесение изменений в настройки параметров, подключение публичных реестров образов, агентов и средств уведомления, а также настройку политик безопасности.

  В веб-интерфейсе эта роль обозначается аббревиатурой isadm.

• Аудитор информационной безопасности – эта роль предназначена для пользователей, осуществляющих просмотр ресурсов и списка пользователей решения, а также контроль результатов сканирования и проверок на соответствие стандартам.

  В веб-интерфейсе эта роль обозначается аббревиатурой isaud.

• Офицер информационной безопасности – эта роль предназначена для пользователей, осуществляющих просмотр и управление политиками безопасности, подключение публичных реестров образов, а также просмотр результатов анализа контейнеров сред выполнения проектов, в которых такие пользователи принимают непосредственное участие.

  В веб-интерфейсе эта роль обозначается аббревиатурой isoff.

• Разработчик – эта роль предназначена для пользователей, осуществляющих проверку на соответствие стандартам, просмотр результатов сканирования образов из реестров и CI/CD, ресурсов кластера и принятых рисков.

  В веб-интерфейсе эта роль обозначается аббревиатурой dev.

При первичной установке Kaspersky Security для контейнеров создается учетная запись admin, для которой автоматически назначается роль isadm.

Вы можете назначать системные роли учетным записям пользователей при создании или изменении учетных записей.

Пользователю могут назначаться несколько ролей пользователя.

Если необходимость в какой-либо системной роли отсутствует, вы можете ее удалить.

Вы не можете удалить последнюю действующую системную роль с правами управления другими ролями.

Если имеющихся системных ролей недостаточно для составления набора прав доступа с требуемыми свойствами, вы можете создать собственные уникальные наборы прав в виде пользовательских ролей.

При создании пользовательских ролей необходимо продумать состав набора прав доступа к взаимосвязанным функциональным возможностям, например:

• Для настройки параметров и просмотра политик реагирования требуется право на просмотр интеграций с системами уведомлений. Если такое право не предоставлено, при настройке политики реагирования Kaspersky Security для контейнеров сообщит об ошибке.
• Права на управление политиками реагирования нужно предоставлять вместе с правами на управление уведомлениями, иначе вы не сможете в настройках политики выбрать средство уведомления.
• Для создания пользователя требуется право на просмотр и управление ролями. Если такое право не предоставлено, созданный пользователь будет видеть только информационную панель.
• Права на управление пользователями нужно предоставлять вместе с правами на управление ролями, иначе вы не сможете назначить роль при создании пользователя.

Вы можете назначать пользовательские роли учетным записям пользователей так же, как и системные роли. Кроме того, вы можете изменять параметры пользовательских ролей и удалять пользовательские роли.

При назначении ролям областей применения необходимо учитывать, что для реализации политики безопасности в рамках определенной области применения требуется назначить эту область применения одной из ваших ролей.

Если вы осуществили интеграцию решения с LDAP-сервером, то Kaspersky Security для контейнеров также принимает и отображает роли и группы пользователей из службы каталогов Active Directory.

В начало