Zertifikatverwaltungsrolle – UI

Diese Anleitung beschreibt die Erstellung einer benutzerdefinierten RBAC-Rolle über die F5 Distributed Cloud Console-UI. Die Rolle gewährt Zugriff auf die Verwaltung von SSL/TLS-Zertifikaten und Zertifikatsketten, die von HTTP Load Balancern verwendet werden. Für den programmatischen (API-)Ansatz siehe die API-Anleitung.

Funktionsweise von F5 XC RBAC

F5 XC verwendet ein dreistufiges Berechtigungsmodell:

api_group_element  (schreibgeschützt, systemdefiniert)
       │
       ▼
   api_group       (schreibgeschützt, systemdefiniert)
       │
       ▼
     role           (vollständiges CRUD — dies erstellen Sie)

api_group_element — Definiert einen Regex-Pfad und HTTP-Methoden (z. B. POST /api/config/.*/certificates). Systemverwaltet; Sie können diese nicht erstellen, ändern oder löschen.
api_group — Eine benannte Sammlung von api_group_element-Referenzen, organisiert nach Funktionsbereich. Systemverwaltet; Sie können diese nicht erstellen, ändern oder löschen. Gruppen verwenden Namenskonventionen wie ves-io-proxy-read oder f5xc-waap-standard-admin.
role — Referenziert api_group-Namen in einem Array. Dies ist die einzige Ebene, die Sie erstellen. Verwenden Sie die Endpunkte für benutzerdefinierte Rollen, um spezifische api_groups einer Rolle zuzuweisen.

Durch die Auswahl der Proxy-Lese-/Schreibgruppen gewährt die Rolle example-cert-admin die SSL/TLS-Zertifikatverwaltung als Teil des breiteren Proxy-Ressourcenzugriffs.

Umfang und Einschränkungen

Die Auswahl der Proxy-Lese-/Schreibgruppen gewährt Zugriff auf alle Proxy-Ressourcen im zugewiesenen Namespace — HTTP Load Balancer, Origins, Routen und Zertifikate gleichermaßen. Es gibt keine Möglichkeit, die Rolle ausschließlich auf Zertifikate einzuschränken.

F5 XC unterstützt keine vom Benutzer erstellten api_group- oder api_group_element-Objekte. Die Plattform definiert diese als schreibgeschützt vor, und Rollen können nur auf vorhandene Gruppennamen verweisen. Keine systemdefinierte Gruppe ist ausschließlich auf Zertifikatoperationen beschränkt.

Abhilfemaßnahme — Namespace-Isolation: Platzieren Sie Zertifikatressourcen in einem dedizierten Namespace und beschränken Sie die Rolle example-cert-admin auf diesen Namespace. Dies verhindert, dass der Benutzer auf Proxy-Ressourcen in anderen Namespaces zugreift, während die vollständige Zertifikatverwaltung innerhalb des isolierten Namespace gewährt bleibt.

Voraussetzungen

Administratorzugriff auf die F5 Distributed Cloud Console

Schritt 1: Zur Rollenverwaltung navigieren

Melden Sie sich bei der F5 Distributed Cloud Console an
Klicken Sie auf der Startseite auf die Kachel Administration
Wählen Sie im linken Navigationsmenü IAM > Roles
Klicken Sie auf + Add Role

Schritt 2: Rolle benennen

Geben Sie example-cert-admin im Feld Role Name ein.

Regeln für die Rollenbenennung:

Nur Kleinbuchstaben, Zahlen und Bindestriche
Muss mit zwei Kleinbuchstaben beginnen
Maximal 64 Zeichen

Schritt 3: Proxy-API-Gruppen hinzufügen

Zertifikatberechtigungen gehören zum Proxy-Funktionsbereich. Fügen Sie die folgenden API-Gruppen hinzu, um Zugriff auf die Zertifikatverwaltung zu gewähren:

Klicken Sie auf + Allowed API Groups
Geben Sie im Such-/Filterfeld ves-io-proxy ein
Wählen Sie die folgenden API-Gruppen aus:

API-Gruppe	Gewährt
`ves-io-proxy-read`	Lesezugriff auf Proxy-Ressourcen einschließlich Zertifikaten
`ves-io-proxy-write`	Schreibzugriff auf Proxy-Ressourcen einschließlich Zertifikaten

Klicken Sie auf Save, um die ausgewählten API-Gruppen zu bestätigen

Schritt 4: Rolle speichern

Überprüfen Sie die ausgewählten API-Gruppen in der Zusammenfassung und klicken Sie dann auf Save, um die Rolle zu erstellen.

Schritt 5: Rolle überprüfen

Navigieren Sie zu IAM > Roles
Klicken Sie in der Rollenliste auf example-cert-admin
Bestätigen Sie, dass beide API-Gruppen aufgeführt sind