角色
您可以使用基于角色的访问控制 (RBAC) 模型来限制对功能和数据的访问。
-
用户 - 对思科 Cisco Secure Workload 具有登录访问权限的用户。
-
角色 - 由用户创建并分配给用户的一组功能。
-
功能 - 范围 + 功能对
-
能力 - 操作的集合
-
操作 - 低级别用户操作,例如“更改工作空间名称”
用户可以具有任意数量的角色。角色可以具有任意数量的功能。例如,“力资源搜索工程师”角色可以有两种功能:“读取 HR 范围“可提供可视性和上下文,而”执行 HR 搜索"功能可让分配给该角色的工程师做出与其应用相关的特定更改。
使用用户 (Users) 页面为用户分配不同的角色。角色有多种功能,您可以为用户分配任意数量的角色。
定义系统角色是为了让用户能够更快地开始使用。它们定义了对所有范围(即系统上的所有数据)的不同访问级别。这些系统角色定义如下。
角色 |
说明 |
---|---|
代理安装程序 |
提供管理代理生命周期(包括安装、监控、升级和转换)的功能,但无法删除代理和访问代理配置文件。 |
客户支持 |
获取技术支持或高级服务。提供对集群维护功能的访问权限。允许与站点管理员相同的访问权限,但不能修改用户。 |
客户支持只读 |
获取技术支持或高级服务。提供对集群维护功能的访问权限。允许与站点管理员相同的访问权限,但不能修改用户。 |
站点管理员 |
提供管理用户、代理等的功能。可以查看和编辑所有功能和数据。必须至少有一个站点管理员。 |
全局应用执行 |
在每个范围内提供执行功能。 |
全局应用管理 |
在每个范围上提供执行功能。 |
全局只读 |
在每个范围内提供读取功能。 |
能力和功能
角色由功能组成,其中包括范围和能力。这些定义了允许的操作及其适用的数据集。例如,(HR, Read) 功能应被阅读并解释为“HR 范围的阅读能力”。此功能将允许访问 HR 范围及其所有子范围。
能力 |
说明 |
---|---|
安装程序 |
安装、监控和升级软件代理。 |
审核 |
支持全局设备数据读取和更改日志访问。 |
读 |
读取所有数据,包括流、应用和资产过滤器。 |
写 |
对应用和资产过滤器进行更改。 |
执行 |
执行自动发现策略并发布策略以供分析。 |
执行 |
执行与给定范围关联的应用工作空间中定义的策略。 |
所有者 |
将应用工作空间从辅助工作空间切换为主工作空间所必需。访问数据分流管理员功能,例如管理用户应用会话、添加数据分流以及创建可视化数据源。 |
Important |
功能是继承的,例如,执行功能允许所有读取、写入和执行操作。 |
Important |
功能适用于范围及其所有子项。 |
按角色访问菜单
您在导航窗格中看到和使用的菜单项取决于分配的角色:
菜单 |
选项 |
站点管理员 |
客户支持 |
客户支持只读 |
全局应用执行 |
全局应用管理 |
全局只读 |
代理安装程序 |
---|---|---|---|---|---|---|---|---|
概述 |
概述 |
兼容 |
兼容 |
兼容 |
兼容 |
兼容 |
是 |
否 |
菜单 |
选项 |
站点管理员 |
客户支持 |
客户支持只读 |
全局应用执行 |
全局应用管理 |
全局只读 |
代理安装程序 |
---|---|---|---|---|---|---|---|---|
整理 |
范围和资产 |
兼容 |
兼容 |
兼容 |
兼容 |
兼容 |
是 |
否 |
整理 |
标签管理 |
兼容 |
兼容 |
兼容 |
兼容 |
兼容 |
是 |
否 |
整理 |
资产过滤器 |
兼容 |
兼容 |
兼容 |
兼容 |
兼容 |
是 |
否 |
菜单 |
选项 |
站点管理员 |
客户支持 |
客户支持只读 |
全局应用执行 |
全局应用管理 |
全局只读 |
代理安装程序 |
---|---|---|---|---|---|---|---|---|
防御 |
分段 |
兼容 |
兼容 |
兼容 |
兼容 |
兼容 |
是 |
否 |
防御 |
执行状态 |
兼容 |
兼容 |
兼容 |
兼容 |
兼容 |
是 |
否 |
防御 |
策略模板 |
兼容 |
兼容 |
兼容 |
兼容 |
兼容 |
是 |
否 |
防御 |
取证规则 |
兼容 |
兼容 |
兼容 |
兼容 |
兼容 |
是 |
否 |
菜单 |
选项 |
站点管理员 |
客户支持 |
客户支持只读 |
全局应用执行 |
全局应用管理 |
全局只读 |
代理安装程序 |
---|---|---|---|---|---|---|---|---|
调查 |
流量 |
兼容 |
兼容 |
兼容 |
兼容 |
兼容 |
是 |
否 |
警报 |
兼容 |
兼容 |
兼容 |
兼容 |
兼容 |
是 |
否 |
|
漏洞 |
兼容 |
兼容 |
兼容 |
兼容 |
兼容 |
是 |
否 |
|
取证 |
兼容 |
兼容 |
兼容 |
兼容 |
兼容 |
是 |
否 |
菜单 |
选项 |
租户所有者 |
代理安装程序 |
---|---|---|---|
报告 |
报告控制面板 |
是 |
否 |
菜单 |
选项 |
站点管理员 |
客户支持 |
客户支持只读 |
全局应用执行 |
全局应用管理 |
全局只读 |
代理安装程序 |
---|---|---|---|---|---|---|---|---|
管理 |
警报配置 |
兼容 |
兼容 |
兼容 |
兼容 |
兼容 |
是 |
否 |
管理 |
变更日志 |
是 |
否 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
管理 |
连接器 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
管理 |
外部协调器 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
管理 |
安全连接器 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
管理 |
虚拟设备 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
管理 |
用户 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
管理 |
角色 |
兼容 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
管理 |
威胁智能 |
兼容 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
管理 |
许可证 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
管理 |
收集规则 |
兼容 |
兼容 |
兼容 |
兼容 |
兼容 |
是 |
否 |
管理 |
会话配置 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
管理 |
使用分析 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
管理 |
数据分流管理员 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
菜单 |
选项 |
站点管理员 |
客户支持 |
客户支持只读 |
全局应用执行 |
全局应用管理 |
全局只读 |
代理安装程序 |
---|---|---|---|---|---|---|---|---|
平台 |
租户 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
平台 |
集群配置 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
平台 |
出站 HTTP |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
平台 |
收集器 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
平台 |
外部身份验证 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
平台 |
SSL 证书 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
平台 |
登录页消息 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
平台 |
联合 |
参见下文 |
参见下文 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
平台 |
数据备份 |
参见下文 |
参见下文 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
平台 |
数据恢复 |
参见下文 |
参见下文 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
平台 |
升级/重启/关闭 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
Note |
|
菜单 |
选项 |
站点管理员 |
客户支持 |
客户支持只读 |
全局应用执行 |
全局应用管理 |
全局只读 |
代理安装程序 |
---|---|---|---|---|---|---|---|---|
故障排除 |
服务状态 |
兼容 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
故障排除 |
集群状态 |
参见下文 |
参见下文 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
故障排除 |
虚拟机 |
兼容 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
故障排除 |
快照 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
故障排除 |
维护资源管理器 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
故障排除 |
Resque |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
不兼容 |
故障排除 |
Hawkeye(图表) |
兼容 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
故障排除 |
Abyss(管道) |
兼容 |
兼容 |
是 |
否 |
不兼容 |
不兼容 |
不兼容 |
Note |
集群状态选项可用于站点管理员和客户支持角色,具体取决于集群类型。 |
创建角色
Before you begin
您必须已拥有站点管理员或客户支持用户角色。
-
在左侧的导航栏中,点击
。 -
点击创建新角色 (Create New Role)。系统将显示角色 (Roles) 面板。
使用“创建角色向导”(Create Role Wizard) 创建角色的过程分为三步。
Procedure
Step 1 |
|
Step 2 |
|
Step 3 |
|
编辑角色
本部分介绍站点管理员和客户支持用户如何编辑角色。
Before you begin
您必须是站点管理员或客户支持用户。
-
在左侧的导航栏中,点击
。 -
在要编辑的角色的行中,点击右列中的编辑 (Edit) 按钮。系统将显示角色 (Roles) 面板。
使用“编辑角色向导”(Edit Role Wizard) 来编辑角色的过程可分为三步。
Procedure
Step 1 |
|
||
Step 2 |
|
||
Step 3 |
|