دور مسؤول الشهادات - واجهة المستخدم

يرشدك هذا الدليل خلال إنشاء دور RBAC مخصص باستخدام واجهة مستخدم وحدة تحكم F5 Distributed Cloud. يمنح الدور صلاحية إدارة شهادات SSL/TLS وسلاسل الشهادات المستخدمة بواسطة موازنات تحميل HTTP. للنهج البرمجي (API)، راجع دليل API.

كيف يعمل نظام RBAC في F5 XC

يستخدم F5 XC نموذج أذونات من ثلاث طبقات:

api_group_element  (read-only, system-defined)
       │
       ▼
   api_group       (read-only, system-defined)
       │
       ▼
     role           (full CRUD — this is what you create)

1. api_group_element — يحدد مسار regex وطرق HTTP (مثل POST /api/config/.*/certificates). يُدار بواسطة النظام؛ لا يمكنك إنشاؤها أو تعديلها أو حذفها.

2. api_group — مجموعة مسماة من مراجع api_group_element، منظمة حسب المجال الوظيفي. تُدار بواسطة النظام؛ لا يمكنك إنشاؤها أو تعديلها أو حذفها. تستخدم المجموعات اصطلاحات تسمية مثل ves-io-proxy-read أو f5xc-waap-standard-admin.

3. role — يشير إلى أسماء api_group في مصفوفة. هذه هي الطبقة الوحيدة التي تقوم بإنشائها. استخدم نقاط نهاية الدور المخصص لربط مجموعات api_groups محددة بدور.

من خلال تحديد مجموعات القراءة/الكتابة الخاصة بالبروكسي، يمنح دور example-cert-admin إدارة شهادات SSL/TLS كجزء من الوصول الأوسع لموارد البروكسي.

النطاق والقيود

يؤدي تحديد مجموعات القراءة/الكتابة الخاصة بالبروكسي إلى منح الوصول إلى جميع موارد البروكسي في مساحة الاسم المعينة — موازنات تحميل HTTP والأصول والمسارات والشهادات على حد سواء. لا توجد طريقة لتقييد الدور بالشهادات فقط.

لا يدعم F5 XC إنشاء كائنات api_group أو api_group_element بواسطة المستخدم. تحدد المنصة هذه الكائنات مسبقًا كقراءة فقط، ولا يمكن للأدوار سوى الإشارة إلى أسماء المجموعات الموجودة. لا توجد مجموعة محددة مسبقًا بواسطة النظام مقتصرة حصريًا على عمليات الشهادات.

التخفيف — عزل مساحة الاسم: ضع موارد الشهادات في مساحة اسم مخصصة وحدد نطاق دور example-cert-admin لتلك المساحة. هذا يمنع المستخدم من الوصول إلى موارد البروكسي في مساحات الاسم الأخرى مع الاستمرار في منح إدارة كاملة للشهادات داخل مساحة الاسم المعزولة.

المتطلبات الأساسية

• صلاحية مسؤول للوصول إلى وحدة تحكم F5 Distributed Cloud

الخطوة 1: الانتقال إلى إدارة الأدوار

1. سجّل الدخول إلى وحدة تحكم F5 Distributed Cloud
2. انقر على مربع Administration في الصفحة الرئيسية
3. في قائمة التنقل اليسرى، حدد IAM > Roles
4. انقر على + Add Role

الخطوة 2: تسمية الدور

أدخل example-cert-admin في حقل Role Name.

قواعد تسمية الأدوار:

• أحرف صغيرة وأرقام وشرطات فقط
• يجب أن يبدأ بحرفين صغيرين
• الحد الأقصى 64 حرفًا

الخطوة 3: إضافة مجموعات API الخاصة بالبروكسي

تُعد أذونات الشهادات جزءًا من المجال الوظيفي للبروكسي. أضف مجموعات API التالية لمنح صلاحية إدارة الشهادات:

1. انقر على + Allowed API Groups
2. في حقل البحث/التصفية، اكتب ves-io-proxy
3. حدد مجموعات API التالية:

مجموعة API	الصلاحيات الممنوحة
ves-io-proxy-read	صلاحية القراءة لموارد البروكسي بما في ذلك الشهادات
ves-io-proxy-write	صلاحية الكتابة لموارد البروكسي بما في ذلك الشهادات

4. انقر على Save لتأكيد مجموعات API المحددة

ملاحظة

تغطي هذه المجموعات جميع الموارد المتعلقة بالبروكسي (موازنات تحميل HTTP والأصول والمسارات والشهادات وسلاسل الشهادات وغيرها)، وليس الشهادات فقط. ينظم F5 XC الأذونات حسب المجال الوظيفي، وليس حسب نوع المورد الفردي.

الخطوة 4: حفظ الدور

راجع مجموعات API المحددة في الملخص، ثم انقر على Save لإنشاء الدور.

الخطوة 5: التحقق من الدور

1. انتقل إلى IAM > Roles
2. انقر على example-cert-admin في قائمة الأدوار
3. تأكد من إدراج كلتا مجموعتي API

المراجع

• إدارة الأدوار — وثائق F5 XC
• مفاهيم RBAC — وثائق F5 XC
• الدليل البرمجي (API)