Contenido
- Usuarios, roles y alcances
- Administración de usuarios
- Acerca de los roles de usuario
- Trabajar con roles del sistema
- Mostrar lista de roles
- Acerca de los alcances
- Alcances y aplicación de directivas de seguridad
- Cambiar entre alcances
- Añadir usuarios, roles y alcances
- Restablecer contraseñas en cuentas de usuarios
- Cambiar la configuración de usuarios, roles y alcances
- Quitar usuarios, roles y alcances
Usuarios, roles y alcances
En esta sección, se describe cómo trabajar con usuarios y roles de usuarios y se proporcionan instrucciones para crearlos, editarlos y eliminarlos. Además, también se describe el uso de alcances para otorgar diferentes niveles de acceso a diversos roles de usuario.
Administración de usuarios
Diversos usuarios pueden tener acceso a Kaspersky Container Security. Para cada usuario se crea una cuenta de usuario y se le asigna uno o más roles.
En la sección Administration → Access management → Users, en la tabla, puede encontrar la lista de usuarios de Kaspersky Container Security.
Puede hacer lo siguiente:
- Añadir usuarios.
- Ver y editar la configuración de las cuentas de usuarios.
- Restablecer la contraseña de determinadas cuentas.
- Eliminar usuarios.
- Ordenar los valores de la lista de usuarios con el icono
en la columna correspondiente: nombre de usuario mostrado, nombre de usuario o rol asignado. (la lista se puede organizar en orden alfabético ascendente o descendente). - Buscar por nombre de usuario con el campo Search by user name que se encuentra encima de la tabla.
Acerca de los roles de usuario
En Kaspersky Container Security, un rol de usuario comprende una serie de permisos para poder realizar algunas acciones en la interfaz web de la solución. Según el rol que tengan, los usuarios pueden acceder a diferentes secciones y funcionalidades.
Kaspersky Container Security proporciona roles de usuarios y roles de sistema, que contienen conjuntos predefinidos de permisos de acceso para realizar tareas comunes de protección de entornos en contenedores.
Durante la instalación de la solución, se facilitan los siguientes roles de sistema:
- El rol administrador de Kaspersky Container Security está pensado para los usuarios que deben desplegar y ofrecer soporte para la infraestructura y el software del sistema necesario para que la solución funcione (por ejemplo, sistemas operativos, servidores de aplicaciones y bases de datos). Estos usuarios pueden gestionar cuentas, roles y permisos de acceso de usuarios en Kaspersky Container Security.
En la interfaz web, este rol tiene la abreviatura KCSADM.
- El rol de administrador de la seguridad de la información (administrador IS) está pensado para los usuarios que deben crear y gestionar cuentas, roles y permisos de acceso de usuarios, modificar configuraciones y conectar registros de imágenes públicos, agentes y servicios de notificación y configurar directivas de seguridad.
En la interfaz web, este rol tiene la abreviatura ISADM.
- El rol de auditor IS está pensado para los usuarios que visualizan los recursos y las listas de usuarios de una solución y que supervisan los resultados de los análisis y las verificaciones de cumplimiento.
En la interfaz web, este rol tiene la abreviatura ISAUD.
- El rol de directivo de IS está pensado para los usuarios que visualizan y gestionan directivas de seguridad, conectan registros de imágenes públicos y visualizan los resultados de los análisis de contenedores en entornos de ejecución de los proyectos donde estos usuarios están directamente involucrados.
En la interfaz web, este rol tiene la abreviatura ISOFF.
- El rol de desarrollador está pensado para los usuarios que realizan verificaciones del cumplimiento y ven los resultados del análisis de imágenes de registros y CI/CD, recursos de clústeres y riesgos aceptados.
En la interfaz web, este rol tiene la abreviatura DEV.
Puede asignar roles de sistema a cuentas de usuario al crear o visualizar estas cuentas de usuarios.
Un usuario puede tener diversos roles.
Si un rol de sistema en particular no es necesario, puede eliminarlo.
Sin embargo, no puede eliminar el último rol de sistema activo que tiene permisos para gestionar otros roles.
Si los roles de sistema disponibles no ofrecen los permisos de acceso que necesite, puede crear permisos únicos como roles personalizados.
Al crear roles personalizados, debe tener en cuenta los permisos necesarios para acceder a las funcionalidades relacionadas. Por ejemplo:
- Para visualizar y configurar las directivas de respuesta, debe tener los permisos para visualizar integraciones a servicios de notificación. Si no se otorga este permiso, Kaspersky Container Security mostrará un error al intentar configurar una directiva de respuesta.
- Deben otorgarse permisos para gestionar directivas de respuesta con permisos para gestionar notificaciones; de lo contrario, no podrá elegir los servicios en la configuración de las directivas.
- Para crear un usuario, deberá tener los permisos para visualizar y gestionar roles. Si no se otorga dicho permiso, el usuario solo verá el panel.
- Debe otorgarse el permiso para gestionar usuarios junto con el permiso para gestionar roles; de lo contrario, no podrá asignar un rol al crear un usuario.
Puede asignar roles de usuario a cuentas de usuario, al igual que ocurre con los roles de sistema. Además, puede modificar la configuración de los roles de usuario y eliminarlos.
Al asignar alcances a los roles, debe considerar que puede implementarse una directiva de seguridad dentro de un alcance específico solo si dicho alcance se asigna a uno de los roles.
Si integra la solución a un servidor LDAP, Kaspersky Container Security también recibe y muestra los roles y los grupos de usuarios del servicio Active Directory.
Inicio de páginaTrabajar con roles del sistema
En la tabla siguiente, encontrará las acciones principales que pueden realizar los usuarios con roles de sistema en la interfaz web de Kaspersky Container Security después de la instalación.
Roles de usuarios y acciones disponibles
Acción |
Administrador de Kaspersky Container Security |
Administrador IS |
Auditor IS |
Ejecutivo IS |
Desarrollador |
|---|---|---|---|---|---|
Ver resultados del análisis de imágenes |
|
|
|
|
|
Iniciar el análisis de imágenes manualmente |
|
|
|
|
|
Gestionar riesgos (aceptar y editar un riesgo, y cancelar la aceptación de un riesgo) |
|
|
|
|
|
Ver riesgos aceptados |
|
|
|
|
|
Ver clústeres |
|
|
|
|
|
Gestionar clústeres |
|
|
|
|
|
Ver registros |
|
|
|
|
|
Añadir una imagen a un registro |
|
|
|
|
|
Eliminar un repositorio o una imagen de un registro |
|
|
|
|
|
Ver los resultados del análisis de CI/CD |
|
|
|
|
|
Gestionar el análisis de CI/CD |
|
|
|
|
|
Ver y gestionar agentes |
|
|
|
|
|
Ver resultados de la verificación del cumplimiento con puntos de referencia |
|
|
|
|
|
Iniciar la verificación del cumplimiento con puntos de referencia |
|
|
|
|
|
Ver directivas de análisis |
|
|
|
|
|
Gestionar directivas de análisis |
|
|
|
|
|
Ver directivas de certeza |
|
|
|
|
|
Gestionar directivas de certeza |
|
|
|
|
|
Ver directivas de respuesta |
|
|
|
|
|
Gestionar directivas de respuesta |
|
|
|
|
|
Ver directivas referentes a la ejecución |
|
|
|
|
|
Gestionar directivas referentes a la ejecución |
|
|
|
|
|
Gestionar la configuración de perfiles automáticos |
|
|
|
|
|
Ver la configuración de Protección frente a amenazas en archivos |
|
|
|
|
|
Gestionar la configuración de Protección frente a amenazas en archivos |
|
|
|
|
|
Ver la lista de usuarios |
|
|
|
|
|
Gestionar usuarios |
|
|
|
|
|
Ver roles y permisos |
|
|
|
|
|
Gestionar roles y permisos |
|
|
|
|
|
Ver alcances |
|
|
|
|
|
Gestionar alcances |
|
|
|
|
|
Ver el alcance predeterminado |
|
|
|
|
|
Gestionar el alcance predeterminado |
|
|
|
|
|
Ver el registro de eventos |
|
|
|
|
|
Ver la información de la licencia |
|
|
|
|
|
Gestionar la configuración de la licencia |
|
|
|
|
|
Ver integraciones a registros de imágenes |
|
|
|
|
|
Ver integraciones a registros de imágenes |
|
|
|
|
|
Ver integraciones a validadores de firmas en imágenes |
|
|
|
|
|
Gestionar integraciones a validadores de firmas en imágenes |
|
|
|
|
|
Ver integraciones a sistemas de notificación |
|
|
|
|
|
Gestionar integraciones a sistemas de notificación |
|
|
|
|
|
Ver informes |
|
|
|
|
|
Gestionar informes |
|
|
|
|
|
Ver y gestionar la integración a un servidor LDAP |
|
|
|
|
|
Ver y gestionar la configuración de autenticación |
|
|
|
|
|
Ver información sobre el estado de los componentes principales |
|
|
|
|
|
Mostrar lista de roles
En la sección Administration → Access management → Roles, Kaspersky Container Security muestra la lista de roles activos.
En la tabla, podrá encontrar todos los roles de sistema y roles de usuario activos, además del ID, el nombre y el número de usuarios con dicho rol. Si ha configurado la integración a LDAP, en la tabla también encontrará los grupos de usuarios de Active Directory que se corresponden con los roles de usuarios en Kaspersky Container Security.
Inicio de páginaAcerca de los alcances
En Kaspersky Container Security, un "alcance" es una lista de motivos por los cuales se usa la solución en un recurso (por ejemplo, clúster o espacio de nombres específico o diversos registros externos).
Los alcances se usan para las siguientes finalidades:
- Diferenciar el acceso a los recursos (por ejemplo, a fin de supervisar el funcionamiento de clústeres, registros o espacios de nombres)
Estos accesos se controlan asignando un alcance durante la creación o la configuración de un alcance.
- Distinguir los objetos donde se aplican directivas y análisis
Estos objetos se distinguen asignando un alcance durante la creación o la configuración de directivas de seguridad.
En Kaspersky Container Security, puede añadir alcances propios o asignar el alcance global predeterminado a los usuarios.
El alcance predeterminado incluye acceso a todos los recursos de la solución. Durante la instalación de Kaspersky Container Security, este alcance se añade de forma predeterminada.
No puede modificar la configuración del alcance predeterminado ni eliminarla.
Solo un usuario que tiene los derechos adecuados puede acceder al alcance predeterminado. Para asignar el alcance predeterminado a otros usuarios y roles, debe tener los permisos para gestionarlo.
Si asigna el alcance predeterminado a una directiva, esta se aplicará a todos los recursos y en todos los entornos.
Inicio de páginaAlcances y aplicación de directivas de seguridad
En Kaspersky Container Security, los alcances se determinan para todas las directivas de seguridad. Para garantizar el análisis de todos los recursos necesarios, las directivas se asignan a uno o más alcances. Además, un mismo alcance puede asignarse a diversas directivas.
Sin importar el número de directivas implementadas en un alcance (por ejemplo, al analizar una imagen o analizar un clúster en un entorno de ejecución), se aplican todas las directivas de seguridad.
Si se aplican diversos alcances y directivas de seguridad de forma simultánea, las siguientes reglas serán pertinentes:
- En el caso de las directivas de análisis: el análisis se realiza con una lista acumulativa de parámetros de configuración obtenida al combinar todas las directivas de análisis vigentes dentro del alcance.
- En el caso de las directivas de certeza: al analizar imágenes de análisis, se aplican todas las directivas pertinentes a los recursos analizados, según los alcances específicos.
- En el caso de las directivas de respuesta: cuando sucede algún evento, el usuario recibe una notificación mediante las herramientas de notificación que se detallaron en todas las directivas de respuesta pertinentes a los recursos especificados en los alcances asignados.
- En el caso de las directivas referentes a la ejecución: se supervisan contenedores y, de ser necesario, se bloquea su ejecución según las directivas pertinentes asignadas al alcance.
Si un alcance incluye un objeto que está sujeto a una directiva referente a la ejecución en el modo Audit y otra directiva en el modo Enforce, se aplican todas las acciones especificadas en las directivas referentes a la ejecución en el modo Enforce.
Cambiar entre alcances
En Kaspersky Container Security, un rol puede tener varios alcances. Puede consultar la lista de alcances disponibles o cambiar entre alcances para acceder a los recursos disponibles para un alcance diferente.
Al cambiar entre alcances, considere lo siguiente:
- Si elige el alcance sobre recursos del registro, en la sección Resources → Clusters, Kaspersky Container Security no mostrará una lista de clústeres, espacios de nombres ni pods. Verá una representación visual completa de los enlaces entre recursos, pero no podrá ver información sobre un objeto externo al alcance disponible.
- En la sección Resources → Registries, elija el alcance con recursos del clúster. Kaspersky Container Security mostrará una lista que contiene las imágenes usadas para iniciar los contenedores de los clústeres.
- En la sección Scanners, podrá ver las listas de todas las tareas de análisis. Sin embargo, no podrá ver información sobre un objeto analizado si no está dentro del alcance que tenga a su disposición.
- En la sección Compliance → Kubernetes benchmarks, Kaspersky Container Security muestra una lista de todos los nodos dentro de los clústeres en el alcance, sin importar el nivel de detalle del clúster en el alcance. Sin embargo, no podrá ver información sobre el nodo de un clúster si no está dentro del alcance que tenga a su disposición.
- En la sección Policies, Kaspersky Container Security muestra lo siguiente:
- Todas las directivas donde el autor tiene al menos uno de los roles que coincide con su rol.
- Todas las directivas donde al menos un alcance coincide con el alcance elegido.
- Todas las directivas que están vinculadas con los alcances asignados los roles que posee. De todos modos, no puede eliminar estas directivas ni modificar su configuración.
Para cambiar el alcance:
- Diríjase a una de las siguientes secciones:
- Resources → Clusters
- Resources → Registries
- Compliance → Kubernetes benchmarks
- Subsecciones de la sección Policies: Scanner policies, Assurance policies, Response policies o Runtime policies
- En la lista desplegable de alcances disponibles, en la esquina superior derecha de la ventana, elija el alcance.
También puede activar todos los alcances si elige All en la lista.
Añadir usuarios, roles y alcances
Para añadir una cuenta de usuario:
- En la sección Administration → Access management → Users, haga clic en el botón Add user que se encuentra encima de la lista de usuarios.
- En la ventana que se abre, defina los siguientes parámetros:
- User name es el valor único que debe asignarse a un usuario para su identificación en Kaspersky Container Security.
El nombre de usuario solo puede incluir letras del alfabeto inglés y números. La longitud mínima del nombre de usuario es de 4 caracteres y la longitud máxima es de 254 caracteres.
- Display name (opcional) es el valor que se muestra en la interfaz web de la solución. Si no se configura, se mostrará el nombre de usuario en la interfaz web.
- Email es opcional.
- User name es el valor único que debe asignarse a un usuario para su identificación en Kaspersky Container Security.
- En el campo Password, introduzca una contraseña.
Las contraseñas deben cumplir con los siguientes requisitos:
- La contraseña debe contener números, caracteres especiales, mayúsculas y minúsculas.
- La longitud mínima es de 6 caracteres y la longitud máxima es de 72 caracteres. La longitud predeterminada de la contraseña es de 8 caracteres.
- En el campo Confirm password, vuelva a introducir la contraseña.
- Elija la casilla de verificación si desea que el usuario modifique su contraseña la próxima vez que inicie la solución.
- Elija una opción de la lista de roles disponibles para asignarle un rol al usuario.
Aunque no es obligatorio asignar un rol durante la creación de un usuario, un usuario nuevo sin un rol no podrá usar Kaspersky Container Security.
- Haga clic en Add.
Para añadir un usuario, debe tener los permisos para ver y modificar la configuración. De lo contrario, cualquier usuario que añadirá solo podrá ver la página principal de la solución.
Para añadir un rol de usuario:
- En la sección Administration → Access management → Roles, haga clic en el botón Add role que se encuentra encima de la lista de roles.
- En la ventana que se abre, defina los siguientes valores:
- Role ID es el valor único que debe asignarse a un rol para su identificación en Kaspersky Container Security.
El ID del rol puede incluir letras mayúsculas del alfabeto latino y números, pero no puede incluir caracteres especiales ni espacios.
- Role name es el valor que se muestra en la interfaz web de la solución.
- Description es opcional.
- Scope es el valor que se usa para diferenciar el acceso a los recursos.
- Role ID es el valor único que debe asignarse a un rol para su identificación en Kaspersky Container Security.
- En el campo Active Directory mapping, debe especificar los grupos de Active Directory a los que pertenece el usuario.
- Elija las casillas de verificación que se encuentran junto a los permisos que estarán disponibles para el rol añadido.
- Haga clic en Add.
Para añadir un alcance:
- En la sección Administration → Access management → Scopes, haga clic en el botón Add scope que se encuentra encima de la tabla que contiene la lista de alcances.
- En la ventana que se abre, escriba el nombre del alcance y, de ser necesario, una descripción.
- En la sección Resources, elija los recursos del alcance:
- Haga clic en el botón Add resources by registry y, en la lista desplegable, elija los registros del alcance. Puede definir un alcance más específico si elige, en la lista desplegable, repositorios específicos e imágenes de dichos repositorios.
- Haga clic en el botón Add resources by cluster y elija, en la lista desplegable, los orquestadores del alcance. Puede definir un alcance más específico si elige clústeres, espacios de nombres e imágenes específicos de los orquestadores utilizados para desplegar los contenedores de los clústeres.
Debe especificar al menos un recurso al que se otorga acceso de supervisión.
- Haga clic en Set objects to scope.
- Haga clic en el botón Save para guardar el alcance.
Restablecer contraseñas en cuentas de usuarios
Para restablecer la contraseña de una cuenta de usuario:
- Diríjase a la sección Administration → Access management → Users.
- Realice una de las siguientes acciones:
- En la lista de usuarios, elija la fila de la cuenta de usuario que desee y luego haga clic en el enlace Reset password que se encuentra encima de la tabla.
- En la fila de la cuenta de usuario que desee, abra el menú (
) y elija la opción Reset password.
Cambiar la configuración de usuarios, roles y alcances
Para editar una cuenta de usuario:
- En la sección Administration → Access management → Users, haga clic en el nombre de usuario, en la lista de usuarios.
- En la ventana que se abre, realice los cambios necesarios.
Si modifica una cuenta de usuario que tiene privilegios de administrador, no elimine todos los roles; de lo contrario, perderá el acceso de administrador a la solución.
- Haga clic en Save.
Para editar un rol de usuario:
- En la sección Administration → Access management → Roles, haga clic en el identificador del rol en la columna Role ID, en la lista de roles.
- En la ventana que se abre, realice los cambios necesarios.
- Haga clic en Save.
Después de modificar un rol, todos los usuarios que tengan dicho rol deberán recibir una nueva autorización.
No puede editar un rol si este es el último rol activo del sistema con derechos para gestionar cuentas de usuario, roles de usuario o el alcance predeterminado.
Para modificar un alcance:
- En la sección Administration → Access management → Scopes, haga clic en el nombre del alcance en la columna Scope name de la tabla que contiene la lista de alcances.
- En la ventana que se abre, realice los cambios necesarios.
- Haga clic en Save.
Quitar usuarios, roles y alcances
Para eliminar una cuenta de usuario:
- En la sección Administration → Access management → Users, realice una de las siguientes acciones:
- En la fila de la cuenta de usuario que desee, elija el usuario y luego haga clic en el enlace Delete, que se encuentra encima de la tabla que contiene la lista de usuarios.
Puede elegir una o más cuentas de usuario.
- En la fila de la cuenta de usuario, abra el menú () y elija Delete user.
- En la fila de la cuenta de usuario que desee, elija el usuario y luego haga clic en el enlace Delete, que se encuentra encima de la tabla que contiene la lista de usuarios.
- En la ventana que se abre, haga clic en Delete para confirmar la eliminación.
La cuenta de usuario que se utiliza en la autorización en Kaspersky Container Security no puede eliminarse.
Para eliminar un rol de usuario:
- En la sección Administration → Access management → Roles, en la fila del rol en la lista de roles, haga clic en el icono de eliminación (
). - En la ventana que se abre, haga clic en Delete para confirmar la eliminación.
No puede eliminar el último rol activo del sistema que tiene derechos para gestionar otras cuentas de usuario, roles de usuario o el alcance predeterminado.
Tampoco puede eliminar un rol si se ha asignado a algún usuario.
Para eliminar un alcance:
- En la sección Administration → Access management → Scopes, en la fila del rol en la lista de alcances, haga clic en el icono de eliminación ().
- En la ventana que se abre, haga clic en Delete para confirmar la eliminación.
No puede eliminar el alcance predeterminado.
Tampoco puede eliminar un alcance si se ha asignado a otro rol de usuario activo.