บทบาทผู้ดูแลใบรับรอง - UI

คู่มือนี้จะแนะนำขั้นตอนการสร้างบทบาท RBAC แบบกำหนดเองโดยใช้คอนโซล UI ของ F5 Distributed Cloud บทบาทนี้จะให้สิทธิ์ในการจัดการใบรับรอง SSL/TLS และ สายใบรับรอง (certificate chains) ที่ใช้โดย HTTP Load Balancers สำหรับวิธีการแบบโปรแกรม (API) โปรดดู คู่มือ API

การทำงานของ RBAC ใน F5 XC

F5 XC ใช้โมเดลสิทธิ์แบบสามระดับ:

api_group_element  (read-only, system-defined)
       │
       ▼
   api_group       (read-only, system-defined)
       │
       ▼
     role           (full CRUD — this is what you create)

1. api_group_element — กำหนดเส้นทาง regex และเมธอด HTTP (เช่น POST /api/config/.*/certificates) จัดการโดยระบบ คุณไม่สามารถ สร้าง แก้ไข หรือลบได้

2. api_group — กลุ่มของการอ้างอิง api_group_element ที่มีชื่อ จัดระเบียบตามพื้นที่ฟังก์ชัน จัดการโดยระบบ คุณไม่สามารถสร้าง แก้ไข หรือ ลบได้ กลุ่มเหล่านี้ใช้หลักการตั้งชื่อเช่น ves-io-proxy-read หรือ f5xc-waap-standard-admin

3. role — อ้างอิงชื่อ api_group ในอาร์เรย์ นี่คือระดับเดียวที่คุณสร้างได้ ใช้เอนด์พอยต์บทบาทแบบกำหนดเองเพื่อแนบ api_groups เฉพาะเข้ากับบทบาท

โดยการเลือกกลุ่ม proxy read/write บทบาท example-cert-admin จะให้สิทธิ์การจัดการใบรับรอง SSL/TLS เป็นส่วนหนึ่งของการเข้าถึงทรัพยากร proxy ที่กว้างขึ้น

ขอบเขตและข้อจำกัด

การเลือกกลุ่ม proxy read/write จะให้สิทธิ์เข้าถึง ทรัพยากร proxy ทั้งหมด ใน namespace ที่กำหนด — HTTP Load Balancers, origins, routes และ certificates เช่นกัน ไม่มีวิธีจำกัดบทบาทให้เฉพาะ certificates เท่านั้น

F5 XC ไม่รองรับการสร้างอ็อบเจกต์ api_group หรือ api_group_element โดยผู้ใช้ แพลตฟอร์มกำหนดไว้ล่วงหน้าเป็นแบบอ่านอย่างเดียว และบทบาทสามารถ อ้างอิงชื่อกลุ่มที่มีอยู่เท่านั้น ไม่มีกลุ่มที่ระบบกำหนดไว้ที่จำกัดขอบเขตเฉพาะสำหรับการดำเนินการเกี่ยวกับใบรับรองเท่านั้น

การแก้ไข — การแยก namespace: วางทรัพยากรใบรับรองไว้ใน namespace เฉพาะและกำหนดขอบเขตบทบาท example-cert-admin ให้กับ namespace นั้น วิธีนี้ ป้องกันไม่ให้ผู้ใช้เข้าถึงทรัพยากร proxy ใน namespace อื่นในขณะที่ ยังคงให้สิทธิ์การจัดการใบรับรองอย่างเต็มรูปแบบภายใน namespace ที่แยกออกมา

ข้อกำหนดเบื้องต้น

• สิทธิ์ผู้ดูแลระบบสำหรับคอนโซล F5 Distributed Cloud

ขั้นตอนที่ 1: นำทางไปยังการจัดการบทบาท

1. เข้าสู่ระบบคอนโซล F5 Distributed Cloud
2. คลิกไทล์ Administration บนหน้าแรก
3. ในเมนูนำทางด้านซ้าย เลือก IAM > Roles
4. คลิก + Add Role

ขั้นตอนที่ 2: ตั้งชื่อบทบาท

ป้อน example-cert-admin ในฟิลด์ Role Name

กฎการตั้งชื่อบทบาท:

• ใช้ได้เฉพาะตัวอักษรพิมพ์เล็ก ตัวเลข และขีดกลางเท่านั้น
• ต้องขึ้นต้นด้วยตัวอักษรพิมพ์เล็กสองตัว
• ความยาวสูงสุด 64 ตัวอักษร

ขั้นตอนที่ 3: เพิ่มกลุ่ม Proxy API

สิทธิ์เกี่ยวกับใบรับรองเป็นส่วนหนึ่งของพื้นที่ฟังก์ชัน proxy เพิ่ม กลุ่ม API ต่อไปนี้เพื่อให้สิทธิ์การจัดการใบรับรอง:

1. คลิก + Allowed API Groups
2. ในฟิลด์ค้นหา/กรอง พิมพ์ ves-io-proxy
3. เลือกกลุ่ม API ต่อไปนี้:

กลุ่ม API	สิทธิ์ที่ได้รับ
ves-io-proxy-read	สิทธิ์อ่านทรัพยากร proxy รวมถึงใบรับรอง
ves-io-proxy-write	สิทธิ์เขียนทรัพยากร proxy รวมถึงใบรับรอง

4. คลิก Save เพื่อยืนยันกลุ่ม API ที่เลือก

หมายเหตุ

กลุ่มเหล่านี้ครอบคลุมทรัพยากรที่เกี่ยวข้องกับ proxy ทั้งหมด (HTTP Load Balancers, origins, routes, certificates, certificate chains ฯลฯ) ไม่ใช่เฉพาะ certificates เท่านั้น F5 XC จัดระเบียบสิทธิ์ตามพื้นที่ฟังก์ชัน ไม่ใช่ตามประเภททรัพยากรแต่ละรายการ

ขั้นตอนที่ 4: บันทึกบทบาท

ตรวจสอบกลุ่ม API ที่เลือกในสรุป จากนั้นคลิก Save เพื่อสร้าง บทบาท

ขั้นตอนที่ 5: ตรวจสอบบทบาท

1. นำทางไปยัง IAM > Roles
2. คลิก example-cert-admin ในรายการบทบาท
3. ยืนยันว่ากลุ่ม API ทั้งสองแสดงอยู่ในรายการ

เอกสารอ้างอิง

• Manage Roles — F5 XC Docs
• RBAC Concepts — F5 XC Docs
• คู่มือแบบโปรแกรม (API)