Ролевая модель Спектр S3

Ролевой метод управления доступом реализован для административного интерфейса для следующих ролей привилегированных пользователей:

администратор инфраструктуры;
администратор тенанта;
аудитор инфраструктуры;
аудитор тенанта.

Изделие имеет следующий набор полномочий для ролей в административном интерфейсе:

Администратор инфраструктуры:
- управлять конфигурацией кластера;
- конфигурировать параметры тенанта;
- просматривать журнал действий привилегированных пользователей административном интерфейсе, для всех тенантов;
- создавать тенанты;
- удалять тенанты;
- создавать роль администратора тенанта, аудитора тенанта (автоматически, при создании тенанта);
- удалять роль администратора тенанта, аудитора тенанта (автоматически, при удалении тенанта);
- просматривать журнал аудита системы.
Аудитор инфраструктуры:
- просматривать конфигурацию кластера;
- просматривать параметры тенанта;
- просматривать журнал аудита системы.
Администратор тенанта:
- просматривать параметры тенанта;
- создавать корзины в назначенном тенанте;
- удалять корзины в назначенном тенанте;
- конфигурировать параметры корзины в назначенном тенанте;
- создавать учётные записи пользователей корзины (пользователей S3);
- модифицировать, блокировать и удалять учётные записи пользователей S3;
- назначать права доступа пользователям S3 к корзине;
- просматривать журнала аудита доступного тенанта.
Аудитор тенанта:
- просмотр списка учетных записей пользователей;
- просматривать параметры корзины в назначенном тенанте;
- просматривать журнал аудита доступного тенанта.

Матрица доступа привилегированных пользователей в административном интерфейсе приведена в таблице:

Полномочие	Администратор инфраструктуры	Аудитор инфраструктуры	Администратор тенанта	Аудитор тенанта
Управление конфигурацией кластера	R/W	R
Управление тенантами (создание и удаление)	R/W
Конфигурирование параметров тенанта	R/W	R	R
Управление корзинами (создание и удаление) в доступном ненанте			R/W
Конфигурирование корзины (наименование, квота скорости, квота объёма, владелец, сжатие объектов)			R/W	R
Управление учётными записями пользователей S3			R/W	R (просмотр списка пользователей)
Список управления доступом к корзине в доступном тенанте			R/W	R
Журнал аудита системы	R	R
Журнал аудита тенанта			R (доступных тенантов)	R (доступных тенантов)

Полномочие

Администратор инфраструктуры

Аудитор инфраструктуры

Администратор тенанта

Аудитор тенанта

Управление конфигурацией кластера

R/W

Управление тенантами (создание и удаление)

R/W

Конфигурирование параметров тенанта

R/W

Управление корзинами (создание и удаление) в доступном ненанте

R/W

Конфигурирование корзины (наименование, квота скорости, квота объёма, владелец, сжатие объектов)

R/W

Управление учётными записями пользователей S3

R/W

R (просмотр списка пользователей)

Список управления доступом к корзине в доступном тенанте

R/W

Журнал аудита системы

Журнал аудита тенанта

R (доступных тенантов)

Изделие имеет функцию отображения уровня доступа (видимость перечня назначенных ролей) в административном интерфейсе.

Роли Администратора инфраструктуры и Аудитор инфраструктуры содержат зафиксированный перечень полномочий и неизменяемы в Изделии.

Роли Администратора инфраструктуры и Аудитор инфраструктуры создаются при инсталляции Изделия.

Роли Администратор тенанта и Аудитор тенанта имеют фиксированный перечень полномочий и создаются автоматически для каждого тенанта, при его создании.

Изделие обеспечивает реализацию назначения ролей Администратор тенанта и Аудитор тенанта посредством интеграции с программным обеспечением «Аванпост FAM» (сертификат соответствия ФСТЭК № 4492 выдан 13.12.2021).