check_point.mgmt.cp_mgmt_domain_permissions_profile 模块 – 通过 Web Services API 管理 Checkpoint 上的域权限配置文件对象

注意

此模块是 check_point.mgmt 集合(版本 6.2.1)的一部分。

如果您正在使用 ansible 包,您可能已经安装了这个集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install check_point.mgmt

要在 playbook 中使用它,请指定:check_point.mgmt.cp_mgmt_domain_permissions_profile

check_point.mgmt 3.0.0 中的新增功能

概要

  • 管理 Checkpoint 设备上的域权限配置文件对象,包括创建、更新和删除对象。

  • 所有操作都通过 Web Services API 执行。

参数

参数

注释

access_control

字典

访问控制权限。<br>只有“自定义”权限类型的配置文件才能编辑这些权限。

access_control_objects_and_settings

字符串

允许编辑以下对象类型:VPN 社区、访问角色、自定义应用程序组、自定义应用程序、自定义类别、限制、应用程序 - 匹配设置、应用程序类别 - 匹配设置、覆盖分类、应用程序和 URL 过滤功能 - 高级设置、内容感知功能 - 高级设置。

选项

  • "read"

  • "write"

  • "disabled"

app_control_and_url_filtering_update

布尔值

安装应用程序和 URL 过滤更新。

选项

  • false

  • true

dlp_policy

字符串

配置 DLP 规则和策略。

选项

  • "read"

  • "write"

  • "disabled"

geo_control_policy

字符串

使用控制进出指定国家/地区的流量的访问控制规则。

选项

  • "read"

  • "write"

  • "disabled"

install_policy

布尔值

安装访问控制策略。

选项

  • false

  • true

nat_policy

字符串

在访问控制规则中使用 NAT。

选项

  • "read"

  • "write"

  • "disabled"

policy_layers

字典

图层编辑权限。<br>仅当 show-policy 设置为 true 时可用。

app_control_and_url_filtering

布尔值

在访问控制规则中使用应用程序和 URL 过滤。<br>仅当 edit-layers 设置为“按软件刀片”时可用。

选项

  • false

  • true

content_awareness

布尔值

在访问控制规则中使用指定的数据类型。<br>仅当 edit-layers 设置为“按软件刀片”时可用。

选项

  • false

  • true

edit_layers

字符串

“按软件刀片” - 编辑包含在权限配置文件中启用的刀片的访问控制层。<br>“按图层编辑器中所选配置文件” - 仅当访问控制图层编辑器授予其配置文件编辑权限时,管理员才能编辑该图层。

选项

  • "按 软件 刀片"

  • "按 图层 编辑器中 所选 配置文件"

firewall

布尔值

使用没有自己策略的访问控制和其他软件刀片。<br>仅当 edit-layers 设置为“按软件刀片”时可用。

选项

  • false

  • true

mobile_access

布尔值

使用移动访问规则。<br>仅当 edit-layers 设置为“按软件刀片”时可用。

选项

  • false

  • true

qos_policy

字符串

使用 QoS 策略和规则。

选项

  • "read"

  • "write"

  • "disabled"

show_policy

布尔值

选择允许管理员使用访问控制规则和 NAT 规则。 如果未选择,管理员将无法看到这些规则。

选项

  • false

  • true

auto_publish_session

布尔值

如果任务完成后执行了更改,则发布当前会话。

选项

  • false ← (默认)

  • true

color

字符串

对象的颜色。应为现有颜色之一。

选项

  • "aquamarine"

  • "black"

  • "blue"

  • "克里特 蓝"

  • "burlywood"

  • "cyan"

  • "深 绿"

  • "khaki"

  • "orchid"

  • "深 橙"

  • "深 绿"

  • "pink"

  • "turquoise"

  • "深 蓝"

  • "firebrick"

  • "brown"

  • "森林 绿"

  • "gold"

  • "深 金"

  • "gray"

  • "深 灰"

  • "浅 绿"

  • "柠檬 薄纱"

  • "coral"

  • "海 绿"

  • "天 蓝"

  • "magenta"

  • "purple"

  • "石板 蓝"

  • "紫 红色"

  • "海军 蓝"

  • "olive"

  • "orange"

  • "red"

  • "sienna"

  • "yellow"

comments

字符串

注释字符串。

details_level

字符串

响应中某些字段的详细程度可能有所不同,从仅显示对象的 UID 值到对象的完整详细表示。

选项

  • "uid"

  • "standard"

  • "full"

edit_common_objects

布尔值

定义和管理 Check Point 数据库中的对象,网络对象、服务、自定义应用程序站点、VPN 社区、用户、服务器、资源、时间、UserCheck 和限制。<br>只有“自定义”权限类型的配置文件才能编辑此权限。

选项

  • false

  • true

endpoint

字典

端点权限。不支持多域服务器。
只有“自定义”权限类型的配置文件才能编辑这些权限。

allow_executing_push_operations

布尔值

管理员可以启动安全管理服务器直接推送到客户端计算机的操作,而无需安装策略。

选项

  • false

  • true

authorize_preboot_users

布尔值

管理员可以添加和删除允许登录具有全盘加密功能的端点安全客户端计算机的用户。

选项

  • false

  • true

edit_endpoint_policies

布尔值

仅当 manage-policies-and-software-deployment 设置为 true 时才可用。

选项

  • false

  • true

edit_software_deployment

布尔值

管理员可以定义部署规则、创建用于导出的软件包以及配置高级软件包设置。
仅当 manage-policies-and-software-deployment 设置为 true 时才可用。

选项

  • false

  • true

manage_policies_and_software_deployment

布尔值

管理员可以处理策略、规则和操作。

选项

  • false

  • true

policies_installation

布尔值

管理员可以在端点计算机上安装策略。

选项

  • false

  • true

recovery_media

布尔值

管理员可以在端点计算机和设备上创建恢复介质。

选项

  • false

  • true

remote_help

布尔值

管理员可以使用远程帮助功能来重置用户密码并为被锁定的用户提供访问权限。

选项

  • false

  • true

reset_computer_data

布尔值

管理员可以重置计算机,这将从安全管理服务器中删除有关该计算机的所有信息。

选项

  • false

  • true

software_deployment_installation

布尔值

管理员可以部署软件包并安装端点客户端。

选项

  • false

  • true

events_and_reports

字典

事件和报告权限。
只有“自定义”权限类型的配置文件才能编辑这些权限。

events

字符串

在“事件”选项卡上处理事件查询。创建自定义事件查询。
仅当 smart-event 设置为“自定义”时才可用。

选项

  • "read"

  • "write"

  • "disabled"

policy

字符串

配置 SmartEvent 策略规则并安装 SmartEvent 策略。
仅当 smart-event 设置为“自定义”时才可用。

选项

  • "read"

  • "write"

  • "disabled"

reports

布尔值

创建和运行 SmartEvent 报告。
仅当 smart-event 设置为“自定义”时才可用。

选项

  • false

  • true

smart_event

字符串

“自定义” - 配置 SmartEvent 权限。

选项

  • "custom"

  • "应用 控制 URL 过滤 仅限报告"

gateways

字典

网关权限。
只有“自定义”权限类型的配置文件才能编辑这些权限。

lsm_gw_db

字符串

访问在 LSM 网关表中定义的对象。这些对象在 SmartProvisioning GUI 或 LSMcli 命令行中进行管理。
注意,对 lsm-gw-db 的“写入”权限允许管理员在专家模式下在 SmartLSM 网关上运行脚本。

选项

  • "read"

  • "write"

  • "disabled"

manage_provisioning_profiles

字符串

管理员可以添加、编辑、删除和分配配置配置文件到网关(包括 LSM 和非 LSM)。
只有当 lsm-gw-db 设置为“写入”权限时,才可进行编辑。
注意,对 lsm-gw-db 的“读取”权限启用 manage-provisioning-profiles 的“读取”权限。

选项

  • "read"

  • "write"

  • "disabled"

manage_repository_scripts

字符串

在存储库中添加、更改和删除脚本。

选项

  • "read"

  • "write"

  • "disabled"

open_shell

布尔值

使用 SmartConsole CLI 运行命令。

选项

  • false

  • true

run_one_time_script

布尔值

从命令行运行用户脚本。

选项

  • false

  • true

run_repository_script

布尔值

从存储库运行脚本。

选项

  • false

  • true

smart_update

字符串

安装、更新和删除 Check Point 许可证。这包括使用 SmartUpdate 管理许可证的权限。

选项

  • "read"

  • "write"

  • "disabled"

system_backup

布尔值

备份安全网关。

选项

  • false

  • true

system_restore

布尔值

从保存的备份还原安全网关。

选项

  • false

  • true

vsx_provisioning

布尔值

创建和配置虚拟系统和其他 VSX 虚拟对象。

选项

  • false

  • true

ignore_errors

布尔值

应用更改时忽略错误。您将无法发布此类更改。如果省略 ignore-warnings 标志,也将忽略警告。

选项

  • false

  • true

ignore_warnings

布尔值

应用更改时忽略警告。

选项

  • false

  • true

management

字典

管理权限。

approve_or_reject_sessions

布尔值

批准/拒绝其他会话。

选项

  • false

  • true

cme_operations

字符串

读取/编辑云管理扩展 (CME) 配置的权限。
不支持多域服务器。

选项

  • "read"

  • "write"

  • "disabled"

high_availability_operations

布尔值

配置和使用域高可用性。
只有“自定义”权限类型的配置文件才能编辑此权限。

选项

  • false

  • true

manage_admins

布尔值

控制管理管理员、权限配置文件、受信任客户端、API 设置和策略设置的能力。
只有“读写全部”权限类型的配置文件才能编辑此权限。
不支持多域服务器。

选项

  • false

  • true

manage_integration_with_cloud_services

布尔值

管理与云服务的集成。

选项

  • false

  • true

manage_sessions

布尔值

允许您断开连接、放弃、发布或接管其他管理员会话。
只有“读写全部”权限类型的配置文件才能编辑此权限。

选项

  • false

  • true

management_api_login

布尔值

使用这些工具、mgmt_cli(Linux 和 Windows 二进制文件)、Gaia CLI (clish) 和 Web 服务 (REST) 登录安全管理服务器并运行 API 命令的权限。如果您想阻止管理员在管理层运行自动脚本,这将很有用。
注意,从 SmartConsole 中的 API 终端运行命令不需要此权限。
不支持多域服务器。

选项

  • false

  • true

publish_sessions

布尔值

允许在无需批准的情况下发布会话。

选项

  • false

  • true

monitoring_and_logging

字典

监视和日志记录权限。
“自定义”权限类型的配置文件可以编辑所有这些权限。“读写全部”权限类型只能编辑 dlp-logs-including-confidential-fields 和 manage-dlp-messages 权限。

app_and_url_filtering_logs

布尔值

使用应用程序和 URL 过滤日志。

选项

  • false

  • true

dlp_logs_including_confidential_fields

布尔值

显示包括机密字段在内的 DLP 日志。

选项

  • false

  • true

https_inspection_logs

布尔值

查看由 HTTPS 检查生成的日志。

选项

  • false

  • true

identities

布尔值

在日志中显示用户和计算机身份信息。

选项

  • false

  • true

manage_dlp_messages

布尔值

查看/发布/丢弃 DLP 消息。
仅当 dlp-logs-including-confidential-fields 设置为 true 时才可用。

选项

  • false

  • true

management_logs

字符串

查看多域服务器审核日志。

选项

  • "read"

  • "write"

  • "disabled"

monitoring

字符串

查看监视视图和报告。

选项

  • "read"

  • "write"

  • "disabled"

packet_capture_and_forensics

布尔值

查看由 IPS 和取证功能生成的日志。

选项

  • false

  • true

show_identities_by_default

布尔值

默认情况下在日志中显示用户和计算机身份信息。

选项

  • false

  • true

show_packet_capture_by_default

布尔值

默认情况下启用数据包捕获。

选项

  • false

  • true

track_logs

字符串

在 SmartConsole 中使用日志跟踪功能。

选项

  • "read"

  • "write"

  • "disabled"

name

字符串 / 必需

对象名称。

others

字典

其他权限。
只有“自定义”权限类型的配置文件才能编辑这些权限。

client_certificates

布尔值

为移动访问创建和管理客户端证书。

选项

  • false

  • true

edit_cp_users_db

布尔值

处理用户帐户和组。

选项

  • false

  • true

https_inspection

字符串

启用和配置 HTTPS 检查规则。

选项

  • "read"

  • "write"

  • "disabled"

ldap_users_db

字符串

处理 LDAP 数据库和用户帐户、组和 OU。

选项

  • "read"

  • "write"

  • "disabled"

user_authority_access

字符串

处理 Check Point 用户授权身份验证。

选项

  • "read"

  • "write"

  • "disabled"

user_device_mgmt_conf

字符串

授予对 UDM(用户和设备管理)基于 Web 的应用程序的访问权限,该应用程序处理“自带设备”(BYOD) 工作空间中的安全挑战。

选项

  • "read"

  • "write"

  • "disabled"

permission_type

字符串

权限配置文件的类型。

选项

  • "读写 全部"

  • "只读 全部"

  • "customized"

state

字符串

访问规则的状态(存在或不存在)。

选项

  • "present" ←(默认)

  • "absent"

tags

列表 / 元素=字符串

标记标识符的集合。

threat_prevention

字典

威胁防御权限。
只有“自定义”权限类型的配置文件才能编辑这些权限。

edit_layers

字符串

“全部” - 授予编辑所有层的权限。
“通过层编辑器中选定的配置文件” - 只有当威胁防御层编辑器授予其配置文件编辑权限时,管理员才能编辑该层。
仅当 policy-layers 设置为“写入”时才可用。

选项

  • "按 图层 编辑器中 所选 配置文件"

  • "All"

edit_settings

布尔值

使用常规威胁防御设置。

选项

  • false

  • true

install_policy

布尔值

安装策略。

选项

  • false

  • true

ips_update

布尔值

更新 IPS 保护。
注意,您无需登录用户中心即可接收 IPS 更新。

选项

  • false

  • true

policy_exceptions

字符串

配置威胁防御规则的例外。
注意,要拥有 policy-exceptions,您必须设置 protections 权限。

选项

  • "read"

  • "write"

  • "disabled"

policy_layers

字符串

配置威胁防御策略规则。
注意,要拥有 policy-layers 权限,您必须设置 policy-exceptions 和 profiles 权限。要拥有 policy-layers 的“写入”权限,必须将 policy-exceptions 设置为“写入”权限。

选项

  • "read"

  • "write"

  • "disabled"

profiles

字符串

配置威胁防御配置文件。

选项

  • "read"

  • "write"

  • "disabled"

protections

字符串

使用恶意软件保护。

选项

  • "read"

  • "write"

  • "disabled"

version

字符串

检查点版本。如果没有给定版本,则采用最新版本。

wait_for_task

布尔值

等待任务结束。例如发布任务。

选项

  • false

  • true ←(默认)

wait_for_task_timeout

整数

等待多少分钟直到抛出超时错误。

默认值: 30

示例

- name: add-domain-permissions-profile
  cp_mgmt_domain_permissions_profile:
    name: customized profile
    state: present

- name: set-domain-permissions-profile
  cp_mgmt_domain_permissions_profile:
    access_control:
      policy_layers: By Selected Profile In A Layer Editor
    name: read profile
    permission_type: customized
    state: present

- name: delete-domain-permissions-profile
  cp_mgmt_domain_permissions_profile:
    name: profile
    state: absent

返回值

常见返回值在此处记录 此处,以下是此模块特有的字段

描述

cp_mgmt_domain_permissions_profile

字典

创建或更新的检查点对象。

返回: 始终返回,删除对象时除外。

作者

  • Eden Brillant (@chkp-edenbr)