Rôle d'administration des certificats - Interface utilisateur

Ce guide décrit la création d’un rôle RBAC personnalisé à l’aide de l’interface utilisateur de la console F5 Distributed Cloud. Le rôle accorde l’accès à la gestion des certificats SSL/TLS et des chaînes de certificats utilisés par les HTTP Load Balancers. Pour l’approche programmatique (API), consultez le guide API.

Fonctionnement du RBAC F5 XC

F5 XC utilise un modèle de permissions à trois niveaux :

api_group_element  (lecture seule, défini par le système)
       │
       ▼
   api_group       (lecture seule, défini par le système)
       │
       ▼
     role           (CRUD complet — c'est ce que vous créez)

api_group_element — Définit un chemin regex et des méthodes HTTP (par ex., POST /api/config/.*/certificates). Géré par le système ; vous ne pouvez pas les créer, modifier ou supprimer.
api_group — Une collection nommée de références api_group_element, organisée par domaine fonctionnel. Géré par le système ; vous ne pouvez pas les créer, modifier ou supprimer. Les groupes utilisent des conventions de nommage comme ves-io-proxy-read ou f5xc-waap-standard-admin.
role — Référence des noms d’api_group dans un tableau. C’est le seul niveau que vous créez. Utilisez les points de terminaison de rôle personnalisé pour attacher des api_groups spécifiques à un rôle.

En sélectionnant les groupes proxy lecture/écriture, le rôle example-cert-admin accorde la gestion des certificats SSL/TLS dans le cadre d’un accès plus large aux ressources proxy.

Portée et limitations

La sélection des groupes proxy lecture/écriture accorde l’accès à toutes les ressources proxy dans le namespace assigné — HTTP Load Balancers, origines, routes et certificats inclus. Il n’est pas possible de restreindre le rôle aux seuls certificats.

F5 XC ne prend pas en charge la création par les utilisateurs d’objets api_group ou api_group_element. La plateforme les prédéfinit en lecture seule, et les rôles ne peuvent référencer que des noms de groupes existants. Aucun groupe défini par le système n’est limité exclusivement aux opérations sur les certificats.

Atténuation — isolation par namespace : Placez les ressources de certificats dans un namespace dédié et limitez la portée du rôle example-cert-admin à ce namespace. Cela empêche l’utilisateur d’accéder aux ressources proxy dans d’autres namespaces tout en accordant une gestion complète des certificats au sein du namespace isolé.

Prérequis

Accès administrateur à la console F5 Distributed Cloud

Étape 1 : Accéder à la gestion des rôles

Connectez-vous à la console F5 Distributed Cloud
Cliquez sur la tuile Administration sur la page d’accueil
Dans le menu de navigation gauche, sélectionnez IAM > Roles
Cliquez sur + Add Role

Étape 2 : Nommer le rôle

Saisissez example-cert-admin dans le champ Role Name.

Règles de nommage des rôles :

Lettres minuscules, chiffres et tirets uniquement
Doit commencer par deux lettres minuscules
Maximum 64 caractères

Étape 3 : Ajouter les groupes API Proxy

Les permissions relatives aux certificats font partie du domaine fonctionnel proxy. Ajoutez les groupes API suivants pour accorder l’accès à la gestion des certificats :

Cliquez sur + Allowed API Groups
Dans le champ de recherche/filtre, tapez ves-io-proxy
Sélectionnez les groupes API suivants :

Groupe API	Accès accordé
`ves-io-proxy-read`	Accès en lecture aux ressources proxy, y compris les certificats
`ves-io-proxy-write`	Accès en écriture aux ressources proxy, y compris les certificats

Cliquez sur Save pour confirmer les groupes API sélectionnés

Étape 4 : Enregistrer le rôle

Vérifiez les groupes API sélectionnés dans le résumé, puis cliquez sur Save pour créer le rôle.

Étape 5 : Vérifier le rôle

Accédez à IAM > Roles
Cliquez sur example-cert-admin dans la liste des rôles
Confirmez que les deux groupes API sont répertoriés