憑證管理員角色 - UI
本指南逐步說明如何使用 F5 Distributed Cloud Console UI 建立自訂 RBAC 角色。此角色授予管理 HTTP Load Balancer 所使用的 SSL/TLS 憑證及憑證鏈的存取權限。若需了解程式化(API)方式,請參閱 API 指南。
F5 XC RBAC 運作方式
Section titled “F5 XC RBAC 運作方式”F5 XC 使用三層權限模型:
api_group_element (read-only, system-defined) │ ▼ api_group (read-only, system-defined) │ ▼ role (full CRUD — this is what you create)-
api_group_element— 定義正規表示式路徑和 HTTP 方法(例如POST /api/config/.*/certificates)。由系統管理;您無法建立、修改或刪除這些元素。 -
api_group— 按功能區域組織的api_group_element參考命名集合。由系統管理;您無法建立、修改或刪除這些群組。群組使用如ves-io-proxy-read或f5xc-waap-standard-admin等命名慣例。 -
role— 在陣列中參考api_group名稱。這是您唯一需要建立的層級。 使用自訂角色端點將特定的api_groups附加到角色。
透過選擇 proxy 讀取/寫入群組,example-cert-admin 角色會在更廣泛的 proxy 資源存取範圍內授予 SSL/TLS 憑證管理權限。
選擇 proxy 讀取/寫入群組會授予對指定命名空間中所有 proxy 資源的存取權限,包括 HTTP Load Balancer、來源、路由和憑證等。目前無法將角色僅限制於憑證。
F5 XC 不支援使用者自行建立 api_group 或 api_group_element 物件。平台將這些物件預先定義為唯讀,角色只能參考現有的群組名稱。沒有任何系統定義的群組僅限於憑證操作。
緩解措施 — 命名空間隔離: 將憑證資源放置在專用的命名空間中,並將 example-cert-admin 角色的範圍限定於該命名空間。這可以防止使用者存取其他命名空間中的 proxy 資源,同時仍然在隔離的命名空間內授予完整的憑證管理權限。
- 具有 F5 Distributed Cloud Console 的管理員存取權限
步驟 1:導覽至角色管理
Section titled “步驟 1:導覽至角色管理”- 登入 F5 Distributed Cloud Console
- 在首頁點選 Administration 磚塊
- 在左側導覽選單中,選擇 IAM > Roles
- 點選 + Add Role
步驟 2:命名角色
Section titled “步驟 2:命名角色”在 Role Name 欄位中輸入 example-cert-admin。
角色命名規則:
- 僅限小寫字母、數字和連字號
- 必須以兩個小寫字母開頭
- 最多 64 個字元
步驟 3:新增 Proxy API 群組
Section titled “步驟 3:新增 Proxy API 群組”憑證權限屬於 proxy 功能區域的一部分。新增以下 API 群組以授予憑證管理存取權限:
- 點選 + Allowed API Groups
- 在搜尋/篩選欄位中輸入
ves-io-proxy - 選擇以下 API 群組:
| API 群組 | 授予的權限 |
|---|---|
ves-io-proxy-read | 對 proxy 資源(包括憑證)的讀取存取權限 |
ves-io-proxy-write | 對 proxy 資源(包括憑證)的寫入存取權限 |
- 點選 Save 以確認所選的 API 群組
步驟 4:儲存角色
Section titled “步驟 4:儲存角色”檢視摘要中所選的 API 群組,然後點選 Save 以建立角色。
步驟 5:驗證角色
Section titled “步驟 5:驗證角色”- 導覽至 IAM > Roles
- 在角色清單中點選 example-cert-admin
- 確認兩個 API 群組皆已列出