Ruolo di amministratore certificati - UI

Questa guida illustra la creazione di un ruolo RBAC personalizzato utilizzando l’interfaccia UI della console F5 Distributed Cloud. Il ruolo concede l’accesso per gestire i certificati SSL/TLS e le catene di certificati utilizzati dagli HTTP Load Balancer. Per l’approccio programmatico (API), consultare la guida API.

Come funziona l’RBAC di F5 XC

F5 XC utilizza un modello di permessi a tre livelli:

api_group_element  (sola lettura, definito dal sistema)
       │
       ▼
   api_group       (sola lettura, definito dal sistema)
       │
       ▼
     role           (CRUD completo — questo è ciò che si crea)

api_group_element — Definisce un percorso regex e i metodi HTTP (ad es., POST /api/config/.*/certificates). Gestito dal sistema; non è possibile creare, modificare o eliminare questi elementi.
api_group — Una raccolta denominata di riferimenti a api_group_element, organizzata per area funzionale. Gestito dal sistema; non è possibile creare, modificare o eliminare questi gruppi. I gruppi utilizzano convenzioni di denominazione come ves-io-proxy-read o f5xc-waap-standard-admin.
role — Fa riferimento ai nomi degli api_group in un array. Questo è l’unico livello che si crea. Utilizzare gli endpoint dei ruoli personalizzati per associare specifici api_groups a un ruolo.

Selezionando i gruppi proxy di lettura/scrittura, il ruolo example-cert-admin concede la gestione dei certificati SSL/TLS come parte di un accesso più ampio alle risorse proxy.

Ambito e limitazioni

La selezione dei gruppi proxy di lettura/scrittura concede l’accesso a tutte le risorse proxy nel namespace assegnato — HTTP Load Balancer, origini, route e certificati compresi. Non è possibile limitare il ruolo ai soli certificati.

F5 XC non supporta la creazione da parte dell’utente di oggetti api_group o api_group_element. La piattaforma li predefinisce come di sola lettura e i ruoli possono fare riferimento solo ai nomi dei gruppi esistenti. Nessun gruppo definito dal sistema è limitato esclusivamente alle operazioni sui certificati.

Mitigazione — isolamento del namespace: Collocare le risorse dei certificati in un namespace dedicato e limitare l’ambito del ruolo example-cert-admin a quel namespace. Questo impedisce all’utente di accedere alle risorse proxy in altri namespace, pur concedendo la gestione completa dei certificati all’interno del namespace isolato.

Prerequisiti

Accesso amministrativo alla console F5 Distributed Cloud

Passaggio 1: Navigare alla gestione dei ruoli

Accedere alla console F5 Distributed Cloud
Fare clic sul riquadro Administration nella pagina principale
Nel menu di navigazione a sinistra, selezionare IAM > Roles
Fare clic su + Add Role

Passaggio 2: Assegnare un nome al ruolo

Inserire example-cert-admin nel campo Role Name.

Regole di denominazione dei ruoli:

Solo lettere minuscole, numeri e trattini
Deve iniziare con due lettere minuscole
Massimo 64 caratteri

Passaggio 3: Aggiungere i gruppi API proxy

I permessi per i certificati fanno parte dell’area funzionale proxy. Aggiungere i seguenti gruppi API per concedere l’accesso alla gestione dei certificati:

Fare clic su + Allowed API Groups
Nel campo di ricerca/filtro, digitare ves-io-proxy
Selezionare i seguenti gruppi API:

Gruppo API	Concede
`ves-io-proxy-read`	Accesso in lettura alle risorse proxy inclusi i certificati
`ves-io-proxy-write`	Accesso in scrittura alle risorse proxy inclusi i certificati

Fare clic su Save per confermare i gruppi API selezionati

Passaggio 4: Salvare il ruolo

Verificare i gruppi API selezionati nel riepilogo, quindi fare clic su Save per creare il ruolo.

Passaggio 5: Verificare il ruolo

Navigare a IAM > Roles
Fare clic su example-cert-admin nell’elenco dei ruoli
Confermare che entrambi i gruppi API siano elencati