用户、角色和范围

本节介绍如何使用用户和用户角色，并提供有关如何创建、编辑和删除它们的说明。本节还描述了如何使用范围来为不同用户角色提供不同级别的访问权限。

管理用户

多个用户可以访问卡巴斯基容器安全。为每个用户创建一个用户账户，并为其分配一个或多个用户角色。

卡巴斯基容器安全用户列表显示在“管理 → 访问管理 → 用户”部分的表格中。

您可以执行以下操作：

• 添加用户。
• 查看和编辑用户账户设置。
• 重置选定账户的密码。
• 删除用户。
• 通过单击相应列（显示的用户名、用户名、分配的角色）中的图标对用户列表中的值排序。排序可以按字母顺序和字母倒序进行。
• 使用表格上方的“按用户名搜索”字段按用户名搜索。

关于用户角色

卡巴斯基容器安全中的用户角色是在解决方案 Web 界面中执行特定操作的一组权限。根据用户的角色，用户可以访问不同的部分和功能。

卡巴斯基容器安全提供用户角色以及系统角色，它们具有预定义的访问权限集来执行保护容器环境的常见任务。

在解决方案的初始安装过程中提供了以下系统角色：

• 卡巴斯基容器安全管理员角色用于负责部署和支持解决方案正常运行所需的基础架构和系统软件（例如操作系统、应用程序服务器和数据库）的用户。这些用户管理卡巴斯基容器安全中的用户账户、角色和访问权限。

  在 Web 界面中，此角色用缩写 KCSADM 表示。

• 信息安全管理员（IS 管理员）角色用于负责创建和管理用户账户、用户的角色和访问权限、更改设置、连接公共镜像仓库、代理和输出以及配置安全策略的用户。

  在 Web 界面中，此角色用缩写 ISADM 表示。

• IS 审计员角色用于查看解决方案的资源和用户列表以及监视扫描和合规性检查结果的用户。

  在 Web 界面中，此角色用缩写 ISAUD 表示。

• IS 管理人员角色用于查看和管理安全策略、连接公共镜像仓库以及查看其直接参与的项目的运行时容器分析结果的用户。

  在 Web 界面中，此角色用缩写 ISOFF 表示。

• 开发人员角色用于执行合规性检查并查看仓库和 CI/CD 镜像扫描结果、集群资源以及已接受的风险的用户。

  在 Web 界面中，此角色用缩写 DEV 表示。

您可以在创建或查看用户账户时向这些用户账户分配系统角色。

可以为一个用户分配多个用户角色。

如果不需要某个特定系统角色，可以将其删除。

但是，您不能删除有权管理其他角色的最后一个活动的系统角色。

如果可用的系统角色不提供所需的访问权限，您可以创建自己独特的权限集作为自定义角色。

创建自定义角色时，请考虑访问相关功能所需的权限集。例如：

• 要查看和配置响应策略的设置，您需要查看与通知服务的集成的权限。如果不授予此权限，当您尝试配置响应策略时，卡巴斯基容器安全将显示错误。
• 管理响应策略的权限必须与管理通知的权限一起授予，否则您将无法在策略设置中选择输出。
• 要创建用户，您需要查看和管理角色的权限。如果不授予此类权限，则仅向创建的用户显示仪表盘。
• 管理用户的权限必须与管理角色的权限一起授予，否则您将无法在创建用户时分配角色。

您可以向用户账户分配用户角色，就像分配系统角色一样。此外，您还可以更改用户角色的设置以及删除用户角色。

在将范围分配给角色时，您必须考虑到，只有将此范围分配给您的某个角色，才能在特定的范围内实施安全策略。

如果解决方案已经与 LDAP 服务器集成，卡巴斯基容器安全还会接收并显示来自 Active Directory 服务的角色和用户组。

使用系统角色

下表列出了在安装后具有系统角色的用户在卡巴斯基容器安全 Web 界面中可执行的主要操作。

用户角色及其可执行的操作

显示角色列表

卡巴斯基容器安全在“管理 → 访问管理 → 角色”部分中显示活动角色列表。

该表格显示了所有活动的系统角色和用户角色，并指示了它们的 ID、名称以及分配给特定角色的用户数量。如果您已配置与 LDAP 的集成，该表还会显示与卡巴斯基容器安全中的用户角色相对应的 Active Directory 用户组。

关于范围

在卡巴斯基容器安全中，范围指的是基于使用该解决方案的原因而生成的资源列表（例如，特定集群、多个外部仓库或特定命名空间）。

范围用于以下目的：

• 区分对资源的访问，例如，为了监控集群、仓库或命名空间的操作。

  此访问控制通过在创建范围或编辑其设置时分配范围来执行。

• 区分策略和扫描应用于的对象。

  通过在创建安全策略或编辑其设置时分配范围来区分这些对象。

在卡巴斯基容器安全中，您可以添加您自己的范围或将默认的全局范围分配给用户。

全局范围包括对所有解决方案资源的访问。在安装卡巴斯基容器安全期间默认添加此范围。

您无法更改全局范围的设置或将其删除。

只有拥有适当权限的用户才能访问全局范围。要将全局范围分配给其他用户和角色，您需要拥有管理全局范围的权限。

如果将全局范围分配给策略，则该策略将应用于所有资源并在所有环境中应用。

安全策略的范围和执行

在卡巴斯基容器安全中，为所有安全策略都指定了范围。为了确保扫描所有必要资源，可以为每个策略分配一个或多个范围。此外，还可以在多个策略中指定相同的范围。

无论范围内实施的策略数量如何（例如，在运行时扫描镜像或扫描集群时），都会应用所有安全策略。

当同时应用多个安全策略和多个范围时，以下规则适用：

• 对于扫描器策略：使用累计的设置列表执行扫描，该列表是通过合并范围内所有有效的扫描策略来获得的。
• 对于保障策略：扫描镜像时，将根据所指定的范围应用适用于所扫描资源的所有策略。
• 对于响应策略：当事件发生时，使用适用于分配的范围中指定的资源的所有响应策略中指定的通知工具来通知用户。
• 对于运行时策略：根据分配给范围的所有适用策略监控容器，并在必要时阻止容器在运行时运行。

在范围之间切换

在卡巴斯基容器安全中，可以将多个范围分配给一个角色。您可以查看可用范围的列表或切换范围以访问不同范围中的可用资源。

在范围之间切换时，请记住以下几点：

• 如果按仓库选择包含资源的范围，则在“资源 → 资产 → 集群”部分中，卡巴斯基容器安全不会显示集群、命名空间和 Pod 的列表。将显示资源之间链接的完整可视化表示，但您无法查看有关可用范围之外的对象的信息。
• 在“资源 → 资产 → 仓库”部分中，按集群选择包含资源的范围。然后，卡巴斯基容器安全会显示用于启动集群中容器的镜像列表。
• 在“扫描器”部分中，您可以查看所有扫描器和扫描任务的列表。但是，如果扫描的对象不在您可以使用的范围内，则无法查看有关该对象的信息。
• 在“合规性 → Kubernetes 基准”部分中，卡巴斯基容器安全显示范围内集群中所有节点的列表，无论范围内的集群详细信息级别如何。但是，如果某个集群节点不在您可以使用的范围内，则无法查看有关该集群节点的信息。
• 在“策略”部分中，卡巴斯基容器安全显示以下内容：
  1. 其中至少一个作者的角色与您的角色相匹配的所有策略。
  2. 其中至少一个范围与您选择的范围相匹配的所有策略。
  3. 链接到分配给您的角色的范围的所有策略。但是，您无法删除这些策略或编辑其设置。

要切换范围：

1. 转到以下部分之一：
   • 资源 → 资产 → 集群。
   • 资源 → 资产 → 仓库。
   • 合规性 → Kubernetes 基准。
   • “策略”部分的子部分：“扫描器策略”、“保障策略”、“响应策略”或“运行时策略”。
2. 在窗口右上部分的可用范围下拉列表中，选择所需的范围。

   还可以通过在列表中选择“所有”来激活所有范围。

添加用户、角色和范围

要添加用户账户：

1. 在“管理 → 访问管理 → 用户”部分中，单击用户列表上方的“添加用户”按钮。
2. 在打开的窗口中，指定以下设置：
   • 用户名是必须分配给用户的唯一值，作为卡巴斯基容器安全中的标识。

     用户名只能包含英文字母和数字。用户名最小长度为 4 个字符，最大长度为 254 个字符。

   • 显示名称（可选）是解决方案 Web 界面中显示的值。如果不指定此参数，则 Web 界面中将显示用户名。
   • 电子邮件（可选）。
3. 在“密码”字段中输入密码。

   密码的要求如下：

   • 密码必须包含数字、特殊字符、大写和小写字母。
   • 最小密码长度为 6 个字符，最大密码长度为 72 个字符。默认密码长度为 8 个字符。
4. 在“确认密码字段中”确认输入的密码。
5. 如果用户应在解决方案下次启动时更改密码，请选中该复选框。
6. 从可用角色列表中进行选择，为用户分配角色。

   虽然创建用户时不需要分配角色，但没有分配角色的新用户将无法与卡巴斯基容器安全交互。

7. 单击“添加”。

要添加用户，需要具备查看和配置设置的权限。如果没有这些权限，则添加的任何用户都只能查看解决方案的主页面。

要添加用户角色：

1. 在“管理 → 访问管理 → 角色”部分中，单击角色列表上方的“添加角色”按钮。
2. 在打开的窗口中，指定以下值：
   • 角色 ID 是必须分配给角色的唯一值，作为卡巴斯基容器安全中的标识。

     角色 ID 可以包含大写拉丁字母和数字。角色 ID 不能包含特殊字符或空格。

   • 角色名称是解决方案 Web 界面中显示的值。
   • 描述（可选）。
   • 范围是用于区分对资源的访问权限的设置。
3. 在“Active Directory 映射”字段中，指定用户所属的 Active Directory 组。
4. 选中可用于添加角色的权限旁边的复选框。
5. 单击“添加”。

要添加范围：

1. 在“管理 → 访问管理 → 范围”部分中，单击包含范围列表的表格上方的“添加范围”按钮。
2. 在打开的窗口中，指定范围名称，并在必要时指定范围描述。
3. 在“资源”部分中，为范围选择资源：
   • 单击“按仓库添加资源”按钮，然后在下拉列表中为范围选择仓库。您可以通过在下拉列表中选择特定存储库并从这些存储库中选择镜像来定义更具体的范围。
   • 单击“按集群添加资源”按钮，然后从下拉列表中为范围选择编排器。您可以通过从部署在集群中的容器所属的编排器中选择特定的集群、命名空间和镜像来定义更具体的范围。

   您必须至少指定一项被授予监控访问权限的资源。

4. 单击“将对象设置到范围”。
5. 单击“保存”按钮保存范围。

重置用户账户密码

要重置用户账户密码，

1. 请转至“管理 → 访问管理 → 用户”部分。
2. 执行以下操作之一：
   • 在用户列表中，选择特定用户账户行，然后单击表格上方的“重置密码”链接。
   • 在用户账户行中，打开菜单 () 并选择“重置密码”。

更改用户、角色和范围的设置

要编辑用户账户：

1. 在“管理 → 访问管理 → 用户”部分中，单击用户列表中的用户名。
2. 在打开的窗口中进行必要的更改。

   如果对具有管理员权限的用户账户进行更改，则不要删除所有角色，因为这样做会导致管理员失去对解决方案的访问权限。

3. 单击“保存”。

要编辑用户角色：

1. 在“管理 → 访问管理 → 角色”部分中，单击角色列表的“角色 ID”列中的角色标识符。
2. 在打开的窗口中进行必要的更改。
3. 单击“保存”。

   修改某个角色后，所有被分配该角色的用户都必须重新授权。

   如果某个角色是最后一个有权管理用户账户、用户角色或全局范围的活动系统角色，则无法编辑该角色。

要编辑范围：

1. 在“管理 → 访问管理 → 范围”部分中，单击包含范围列表的表格的“范围名称”列中的范围名称。
2. 在打开的窗口中进行必要的更改。
3. 单击“保存”。

删除用户、角色和范围

要删除用户账户：

1. 在“管理 → 访问管理 → 用户”部分中，执行以下操作之一：
   • 从特定用户账户行中选择用户，然后单击包含用户列表的表格上方的“删除”链接。

     您可以选择一个或多个用户账户。

   • 在包含用户账户的行中，打开菜单 () 并选择“删除用户”。
2. 在打开的窗口中，单击“删除”以确认删除。

   无法删除卡巴斯基容器安全中用于授权的用户账户。

要删除用户角色：

1. 在“管理 → 访问管理 → 角色”部分中，在角色列表的角色行中，单击删除图标 ()。
2. 在打开的窗口中，单击“删除”以确认删除。

您无法删除有权管理其他用户账户、用户角色或全局范围的最后一个活动的系统角色。
如果某个角色已分配给任意用户，也无法删除该角色。

要删除范围：

1. 在“管理 → 访问管理 → 范围”部分中，在范围列表的角色行中，单击删除图标 ()。
2. 在打开的窗口中，单击“删除”以确认删除。

   您无法删除默认的全局范围。
   如果某个应用范围分配给不同的活动用户角色，也无法删除该应用范围。