证书管理角色 - UI
本指南介绍如何使用 F5 Distributed Cloud 控制台 UI 创建自定义 RBAC 角色。该角色授予管理 HTTP 负载均衡器使用的 SSL/TLS 证书和证书链的权限。如需了解编程(API)方式,请参阅 API 指南。
F5 XC RBAC 工作原理
Section titled “F5 XC RBAC 工作原理”F5 XC 使用三层权限模型:
api_group_element (只读,系统定义) │ ▼ api_group (只读,系统定义) │ ▼ role (完整 CRUD — 这是您创建的内容)-
api_group_element— 定义正则表达式路径和 HTTP 方法 (例如POST /api/config/.*/certificates)。由系统管理;您无法创建、修改或删除这些元素。 -
api_group—api_group_element引用的命名集合,按功能区域组织。由系统管理;您无法创建、修改或删除这些组。组使用类似ves-io-proxy-read或f5xc-waap-standard-admin的命名约定。 -
role— 在数组中引用api_group名称。**这是您唯一需要创建的层级。**使用自定义角色端点将特定的api_groups附加到角色。
通过选择代理读/写组,example-cert-admin 角色将 SSL/TLS 证书管理作为更广泛的代理资源访问权限的一部分来授予。
选择代理读/写组将授予对分配命名空间中所有代理资源的访问权限——包括 HTTP 负载均衡器、源站、路由和证书。无法将角色限制为仅访问证书。
F5 XC 不支持用户创建 api_group 或 api_group_element 对象。平台将这些预定义为只读,角色只能引用现有的组名称。没有任何系统定义的组专门限定于证书操作。
**缓解措施——命名空间隔离:**将证书资源放置在专用命名空间中,并将 example-cert-admin 角色的范围限定到该命名空间。这可以防止用户访问其他命名空间中的代理资源,同时仍在隔离的命名空间内授予完整的证书管理权限。
- 拥有 F5 Distributed Cloud 控制台的管理员访问权限
步骤 1:导航到角色管理
Section titled “步骤 1:导航到角色管理”- 登录 F5 Distributed Cloud 控制台
- 在主页上点击 Administration 磁贴
- 在左侧导航菜单中,选择 IAM > Roles
- 点击 + Add Role
步骤 2:命名角色
Section titled “步骤 2:命名角色”在 Role Name 字段中输入 example-cert-admin。
角色命名规则:
- 仅允许使用小写字母、数字和连字符
- 必须以两个小写字母开头
- 最大长度为 64 个字符
步骤 3:添加代理 API 组
Section titled “步骤 3:添加代理 API 组”证书权限属于代理功能区域。添加以下 API 组以授予证书管理访问权限:
- 点击 + Allowed API Groups
- 在搜索/筛选字段中,输入
ves-io-proxy - 选择以下 API 组:
| API 组 | 授予的权限 |
|---|---|
ves-io-proxy-read | 对代理资源(包括证书)的读取权限 |
ves-io-proxy-write | 对代理资源(包括证书)的写入权限 |
- 点击 Save 确认所选的 API 组
步骤 4:保存角色
Section titled “步骤 4:保存角色”在摘要中查看所选的 API 组,然后点击 Save 创建角色。
步骤 5:验证角色
Section titled “步骤 5:验证角色”- 导航到 IAM > Roles
- 在角色列表中点击 example-cert-admin
- 确认两个 API 组均已列出