Cato 管理应用程序 (CMA) 角色实现RBAC 在 CMA 页面定义查看和编辑权限。 子策略让您为一组规则分配 RBAC,赋予管理员在他们负责的领域中的自主权,同时维持集中控制和安全边界。
创建 子访问权限策略 为特定规则并定义哪些管理员有查看或编辑权限。
示例公司有 2 个安全运营中心团队,一个用于 EMEA,一个用于 APJ。 互联网防火墙策略中有 50 项规则:20 项适用于所有区域,10 项仅与 EMEA 流量相关,20 项仅适用于 APJ 流量。 在子访问权限策略之前,安全运营中心团队有权限查看和编辑互联网防火墙访问权限策略中的所有规则,这不符合公司的合规性规定。
示例公司使用子访问权限策略来限制访问,因此每个安全运营中心团队仅可以访问管理其区域流量的规则。 他们创建了一个 EMEA 子访问权限策略用于管理 EMEA 流量的 10 条规则,以及一个用于 APJ 流量的 20 条规则的 APJ 子访问权限策略。 现在,安全运营中心团队只能编辑其区域流量规则,公司完全符合法规规定。
- 子访问权限策略的父规则是定义规则何时应用于流量的范围规则。
- 子访问权限策略规则也是有序规则,第一个匹配规则的操作应用于流量。
- 您可以添加规则部分到子访问权限策略。
-
默认情况下,任何任何清理规则在子访问权限策略的末尾添加。 此规则仅应用于:
- 匹配子访问权限策略范围规则的流量
- 在该子访问权限策略中不匹配任何其他规则
注意: 子访问权限策略内具有任意条件的规则仅应用于也匹配子访问权限策略范围规则的流量。 这意味着具有任何任何阻止的规则不会影响不匹配范围规则的流量。
- 子访问权限策略不能包含其他子访问权限策略(没有嵌套)
任何未包含在子访问权限策略中的规则都是定义管理员权限时的主要子访问权限策略的一部分。
您可以定义哪些管理员可以查看或编辑每个子访问权限策略。
首先,创建子访问权限策略,然后定义允许谁查看或编辑规则的管理员权限。
规则编号在整个访问权限策略内保持一致,即使某些管理员无法查看特定子访问权限策略。 因此,无法查看特定子访问权限策略的管理员可能会看到规则编号中的空缺。
您可以在支持的访问权限策略中创建子访问权限策略。 子访问权限策略的条件定义何时流量会应用于子访问权限策略内部的规则。
注意:在启用子策略之前,请确保您已定义规则和权限。
创建子访问权限策略:
- 在相关访问权限策略中,点击新建 > 子访问权限策略。
- 定义子访问权限策略的名称、位置和条件,然后点击 保存。
默认情况下,管理员有权限在每个他们有权限的页面上查看和编辑所有子访问权限策略。 为所有子访问权限策略的实体删除权限,并为新的独立子访问权限策略添加权限。
定义子访问权限策略上的管理员权限:
- 从导航菜单中选择 管理 > 管理员。
- 选择一个管理员,并转到实体访问权限区域。
- 在表格中找到访问权限策略行(例如,所有互联网防火墙访问权限策略)并删除查看和编辑权限。
- 在下拉菜单中,选择页面的子访问权限策略类别(例如,互联网防火墙子访问权限策略)。
- 在第二个下拉菜单中,选择目标子访问权限策略。 子访问权限策略已添加到表格中。
- 在表格中,给管理员编辑或仅查看权限。
- 对每个管理员重复此过程。
- 管理员权限定义后,他们可以开始配置子访问权限策略的规则。
0 条评论
文章评论已关闭。