Rol de Administrador de Certificados - UI

Esta guía explica cómo crear un rol RBAC personalizado utilizando la interfaz de la Consola de F5 Distributed Cloud. El rol otorga acceso para gestionar certificados SSL/TLS y cadenas de certificados utilizados por los HTTP Load Balancers. Para el enfoque programático (API), consulte la guía de API.

Cómo Funciona el RBAC de F5 XC

F5 XC utiliza un modelo de permisos de tres niveles:

api_group_element  (solo lectura, definido por el sistema)
       │
       ▼
   api_group       (solo lectura, definido por el sistema)
       │
       ▼
     role           (CRUD completo — esto es lo que usted crea)

api_group_element — Define una ruta regex y métodos HTTP (por ejemplo, POST /api/config/.*/certificates). Gestionado por el sistema; no puede crear, modificar ni eliminar estos elementos.
api_group — Una colección nombrada de referencias a api_group_element, organizada por área funcional. Gestionado por el sistema; no puede crear, modificar ni eliminar estos elementos. Los grupos utilizan convenciones de nomenclatura como ves-io-proxy-read o f5xc-waap-standard-admin.
role — Hace referencia a nombres de api_group en un array. Este es el único nivel que usted crea. Utilice los endpoints de roles personalizados para asociar api_groups específicos a un rol.

Al seleccionar los grupos de lectura/escritura de proxy, el rol example-cert-admin otorga gestión de certificados SSL/TLS como parte de un acceso más amplio a recursos de proxy.

Alcance y Limitaciones

Seleccionar los grupos de lectura/escritura de proxy otorga acceso a todos los recursos de proxy en el namespace asignado — HTTP Load Balancers, orígenes, rutas y certificados por igual. No hay forma de restringir el rol únicamente a certificados.

F5 XC no admite objetos api_group o api_group_element creados por el usuario. La plataforma los predefine como solo lectura, y los roles solo pueden hacer referencia a nombres de grupos existentes. Ningún grupo definido por el sistema está limitado exclusivamente a operaciones de certificados.

Mitigación — aislamiento por namespace: Coloque los recursos de certificados en un namespace dedicado y limite el alcance del rol example-cert-admin a ese namespace. Esto evita que el usuario acceda a recursos de proxy en otros namespaces mientras se le otorga gestión completa de certificados dentro del namespace aislado.

Requisitos Previos

Acceso de administrador a la Consola de F5 Distributed Cloud

Paso 1: Navegar a la Gestión de Roles

Inicie sesión en la Consola de F5 Distributed Cloud
Haga clic en el mosaico Administration en la página de inicio
En el menú de navegación izquierdo, seleccione IAM > Roles
Haga clic en + Add Role

Paso 2: Nombrar el Rol

Ingrese example-cert-admin en el campo Role Name.

Reglas de nomenclatura de roles:

Solo letras minúsculas, números y guiones
Debe comenzar con dos letras minúsculas
Máximo 64 caracteres

Paso 3: Agregar Grupos de API de Proxy

Los permisos de certificados son parte del área funcional de proxy. Agregue los siguientes grupos de API para otorgar acceso a la gestión de certificados:

Haga clic en + Allowed API Groups
En el campo de búsqueda/filtro, escriba ves-io-proxy
Seleccione los siguientes grupos de API:

Grupo de API	Otorga
`ves-io-proxy-read`	Acceso de lectura a recursos de proxy incluyendo certificados
`ves-io-proxy-write`	Acceso de escritura a recursos de proxy incluyendo certificados

Haga clic en Save para confirmar los grupos de API seleccionados

Paso 4: Guardar el Rol

Revise los grupos de API seleccionados en el resumen, luego haga clic en Save para crear el rol.

Paso 5: Verificar el Rol

Navegue a IAM > Roles
Haga clic en example-cert-admin en la lista de roles
Confirme que ambos grupos de API estén listados