automation-suite

2023.10

false

Importante :

La localización de contenidos recién publicados puede tardar entre una y dos semanas en estar disponible.

Guía de instalación de Automation Suite en EKS/AKS

Última actualización 4 de dic. de 2025

Seguridad y cumplimiento

Contexto de seguridad para los servicios de UiPath®

Esta sección proporciona detalles sobre el contexto de seguridad de los servicios UiPath®.

Todos los servicios de UiPath® están configurados con un contexto de seguridad definido en la sección spec. El siguiente ejemplo muestra la configuración para todos los servicios, con la excepción de du-cjk-ocr:

spec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
    runAsGroup: 1000
    fsGroup: 1000
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: falsespec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
    runAsGroup: 1000
    fsGroup: 1000
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: false

En el caso del servicio du-cjk-ocr, el valor del parámetro readOnlyRootFilesystem es false. Para obtener más información sobre du-cjk-ocr, consulta la documentación de Document Understanding.

En algunos casos, los ID de usuario y los ID de grupo pueden ser mayores o iguales a 1000. Tales valores son permisibles en función de tu entorno. Es importante configurar los ID de usuario y grupo según tus principios de seguridad y las directrices de seguridad de tu organización.

Políticas de controlador de acceso y OPA

Automation Suite está preconfigurado con políticas Gatekeeper y OPA. Si traes tu propio componente Gatekeeper y políticas OPA, puedes omitir estos componentes desde la instalación de Automation Suite. Para obtener más detalles, consulta Pila de Automation Suite. En este caso, revisa las políticas de OPA y las excepciones necesarias para instalar y ejecutar Automation Suite.

Por defecto, estas políticas solo se ejecutan en los siguientes espacios de nombres de UiPath: -uipath, uipath-installer, uipath-infra, airflow y argocd.

Políticas OPA

Policy	Actionsde aplicación	Espacios de nombres / Imágenes que se van a excluir
Permitir escalado de privilegios en el contenedor Controles que restringen la escalada a los privilegios de raíz. Corresponde al campo `allowPrivilegeEscalation` de una PolíticaDeSeguridadDe Pod	`dryrun`	Gatekeeper logging dapr-system kube-system uipath-check predeterminado istio-system cert-manager Supervisión
App Armor Configura una lista de permisos de perfiles de AppArmor para su uso por los contenedores. Esto corresponde a anotaciones específicas aplicadas a una PodSeguridadPolítica.	`deny`	Gatekeeper logging dapr-system kube-system predeterminado istio-system cert-manager Supervisión
Capacidades Controla las capacidades de Linux en los contenedores. Corresponde a los campos `allowedCapabilities` y `requiredDropCapabilities` de una PolíticaDeSeguridadDe Pod.	`dryrun`	Gatekeeper logging dapr-system uipath-check kube-system predeterminado istio-system cert-manager Supervisión
VolúmenesFlexible Controla la lista de permitidos de controladores FlexVolume. Corresponde al campo `allowedFlexVolumes` de la PolíticaDeSeguridadDe Pod	`deny`	Gatekeeper logging dapr-system kube-system predeterminado istio-system cert-manager Supervisión
Sistemas prohibidos	`deny`	Gatekeeper logging dapr-system kube-system predeterminado istio-system cert-manager Supervisión
Grupo SF Controla la asignación de unFSGroup que es propietario de los volúmenes del pod. Corresponde al campo `fsGroup` de una Política de Seguridad de Pod.	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argocd predeterminado istio-system cert-manager Supervisión flujo de aire uipath-check
Sistema de archivos del host Controla el uso del sistema de archivos del host. Corresponde al campo `allowedHostPaths` de una Política de Seguridad de Pod.	`dryrun`	Gatekeeper logging dapr-system kube-system argocd predeterminado istio-system cert-manager Supervisión
Host Namespace No permite que los contenedores de pods compartan los espacios de nombres de IPC y PID del host. Corresponde a los campos `hostPID` y `hostIPC` de una PolíticaDeSeguridadDe Pod.	`deny`	Gatekeeper logging dapr-system kube-system argocd predeterminado istio-system cert-manager Supervisión
Puertos de red del host Controla el uso del espacio de nombres de la red del host por los contenedores de pod.	`deny`	Gatekeeper logging dapr-system kube-system argocd predeterminado istio-system cert-manager Supervisión uipath-check
Contenedor privilegiado Controla la capacidad de cualquier contenedor para habilitar el modo privilegiado. Corresponde al campo `privileged` de una Política de Seguridad de Pod.	`deny`	Gatekeeper logging dapr-system kube-system argocd predeterminado istio-system cert-manager Supervisión uipath-check
Soporte de proceso Controla los tipos `procMount` permitidos para el contenedor. Corresponde al campo `allowedProcMountTypes` de una Política de seguridad de Pod.	`deny`	Gatekeeper logging dapr-system kube-system argocd predeterminado istio-system cert-manager Supervisión
Sistema de archivos raíz de solo lectura Requiere el uso de un sistema de archivos raíz de solo lectura por los contenedores de pod.	`dryrun`	Gatekeeper logging dapr-system kube-system argocd predeterminado istio-system cert-manager Supervisión uipath-check
Seccomp Controla el perfil seccomp utilizado por los contenedores. Corresponde a la anotación `seccomp.security.alpha.kubernetes.io/allowedProfileNames` en una PolíticaDeSeguridadDe Pod.	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argocd predeterminado istio-system cert-manager Supervisión flujo de aire uipath-check
SELinux V2 Define una lista de permisos de configuraciones de seLinuxOptions para contenedores de pod.	`deny`	Gatekeeper logging dapr-system kube-system argocd predeterminado istio-system cert-manager Supervisión
Usuarios permitidos Controla los ID de usuario y grupo del contenedor y algunos volúmenes.	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argocd predeterminado istio-system cert-manager Supervisión flujo de aire velero uipath-check
Tipos de volumen Restringe los tipos de volúmenes que se pueden montar a los especificados por el usuario.	`deny`	Gatekeeper logging dapr-system kube-system argocd predeterminado istio-system cert-manager Supervisión velero uipath-check

Nota:

El espacio de nombres dapr-system solo es necesario si instalas Process Mining y Task Mining.
El espacio de nombres airflow solo es necesario si instalas Process Mining.

Otras políticas de OPA

Policy	Actionsde aplicación	Espacios de nombres / Imágenes que se van a excluir
Token de cuenta de servicio de Automunt para pod Controla la capacidad de cualquier pod de habilitar `automountServiceAccountToken`.	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argocd predeterminado istio-system cert-manager Supervisión flujo de aire uipath-check
Repositorios permitidos Requiere que las imágenes del contenedor comiencen con una cadena de la lista especificada.	`dryrun`	registry.uipath.com registry-data.uipath.com
Editar rol predeterminado del punto final del bloque	`deny`	N/D
Bloquear servicios con el tipo LoadBalancer No permite todos los servicios de tipo LoadBalancer.	`deny`	kube-system
Bloquear NodePort No permite todos los servicios de tipo NodePort.	`deny`	istio-system comprobaciones previas de la red
Bloquear entrada comodín Los usuarios no deben poder crear Ingresos con un nombre de host en blanco o con comodines (*), ya que eso les permitiría interceptar el tráfico para otros servicios en el clúster, incluso si no tienen acceso a esos servicios.	`deny`	Gatekeeper logging dapr-system kube-system argocd predeterminado istio-system cert-manager Supervisión
Límites de contenedor Requiere que los contenedores tengan límites de memoria y CPU establecidos. Restringe los límites para que estén dentro de los valores máximos especificados.	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argocd predeterminado istio-system cert-manager Supervisión flujo de aire uipath-check
Solicitudes de contenedor Requiere contenedores para configurar solicitudes de memoria y CPU. Restringe las solicitudes a estar dentro de los valores máximos especificados.	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argocd predeterminado istio-system cert-manager Supervisión flujo de aire uipath-check
Ratios de contenedores Establece una relación máxima entre los límites de recursos del contenedor y las solicitudes.	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argocd predeterminado istio-system cert-manager Supervisión flujo de aire prereq**
Recursos necesarios Requiere que los contenedores tengan recursos definidos.	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argocd predeterminado istio-system cert-manager Supervisión flujo de aire uipath-check
No permitir el acceso anónimo No permite asociar recursos ClústerRol y Rol al usuario `system:anonymous` y al grupo `system:unauthenticated` .	`deny`	N/D
Disallow tags Requiere que las imágenes del contenedor tengan una etiqueta de imagen diferente a las de la lista especificada.	`deny`	N/D
Límite de almacenamiento efímero del contenedor Requiere que los contenedores tengan establecido un límite de almacenamiento efímero y restringe el límite para que esté dentro de los valores máximos especificados.	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argocd predeterminado istio-system cert-manager Supervisión flujo de aire uipath-check
Escalador automático de pod horizontal	`deny`	N/D
Solo HTTPS Requiere que los recursos de Ingreso sean solo HTTPS. Los recursos de entrada deben incluir la anotación `kubernetes.io/ingress.allow-http` , establecida en `false`. De forma predeterminada se requiere una configuración TLS {} válida. Esto se puede hacer opcional estableciendo el parámetro `tlsOptional` en `true`.	`dryrun`	Supervisión
Resúmenes de imágenes Requiere que las imágenes de contenedor contengan un resumen.	`dryrun`	UiPath
Bloquear la actualización de la cuenta de servicio Bloquea la actualización de la cuenta de servicio en los recursos que se abstraen a través de los pods. Esta política se ignora en modo de auditoría.	`dryrun`	N/D
Presupuesto de interrupción de pod	`deny`	flujo de aire
Sondas requeridas Requiere que los Pods tengan sondas de disponibilidad y / o vitalidad.	`dryrun`	UiPath
ClaseDeAlmacenamiento Requiere que se especifiquen las clases de almacenamiento cuando se usa.	`dryrun`	N/D
Unique Ingress Host Requiere que todos los hosts de reglas de Ingreso sean únicos.	`dryrun`	N/D
Unique Service Selector Requiere que los servicios tengan selectores únicos dentro de un espacio de nombres. Los selectores se consideran iguales si tienen claves y valores idénticos. Los selectores pueden compartir un par clave / valor siempre que haya al menos un par clave / valor distinto entre ellos.	`dryrun`	N/D

Nota:

El espacio de nombres dapr-system solo es necesario si instalas Process Mining y Task Mining.
El espacio de nombres airflow solo es necesario si instalas Process Mining.
prereq** son espacios de nombres temporales creados mientras se ejecuta un prerrequisito o una comprobación de estado. Los espacios de nombres se autoeliminan al finalizar.

Políticas de trabajo en red

Automation Suite está preconfigurado con las políticas de red de Kubernetes estándar para seguir el principio de acceso a la red con menos privilegios. Puedes omitir la instalación de políticas de red proporcionadas por UiPath añadiendo network-policies en la lista exclude components en input.json. Para obtener más información sobre los componentes opcionales, consulta la pila de Automation Suite.

Automation Suite aplica la red desde, hacia y dentro del espacio de nombres uipath. Si aportas tus propias políticas de red o si tienes un CNI personalizado (por ejemplo, Cilium Enterprise o Calico Tigera Enterprise), asegúrate de actualizar tus políticas para duplicar el gráfico de Helm network-policies.

Puedes encontrar el gráfico de Helm network-policiesde Automation Suite ejecutando el siguiente comando.

Nota:

Debes reemplazar <automation-suite-version>con tu versión actual de Automation Suite en el siguiente comando.
Debes descomprimir el archivo para extraer el gráfico de Helm.

helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>

Requisitos de privilegios de clúster

Se requiere acceso de administrador del clúster para uipathctl en tu nodo de gestión para instalar y gestionar Automation Suite en un clúster dedicado. Este nivel de acceso es necesario para los componentes a nivel de sistema en Automation Suite, como Istio (enrutamiento/malla de servicio) y ArgoCD (gestión del ciclo de vida de la implementación y la aplicación), y para crear espacios de nombres relacionados con Automation Suite. Para los clústeres compartidos, no se requieren privilegios de administrador.

FIPS 140-2

Las Normas Federales de Procesamiento de Información 140-2 (FIPS 140-2) son un estándar de seguridad que valida la eficacia de los módulos criptográficos.

Automation Suite en AKS puede ejecutarse en nodos habilitados para FIPS 140-2.

Puedes habilitar FIPS 140-2 en los nodos de AKS en los que instalas Automation Suite en los siguientes escenarios:

Escenario 1: nuevas instalaciones : habilita FIPS 140-2 antes de realizar una instalación limpia de Automation Suite 2023.4 o posterior.
Escenario 2: instalaciones existentes : habilita FIPS 140-2 después de realizar una instalación de Automation Suite en una máquina con FIPS-140-2 deshabilitado.

Escenario 1: nuevas instalaciones

Para habilitar FIPS 140-2 en las máquinas en las que piensas realizar una nueva instalación de Automation Suite, realiza los siguientes pasos:

Antes de iniciar la instalación de Automation Suite, habilita FIPS 140-2 en tus máquinas.
Realiza la instalación de Automation Suite siguiendo las instrucciones de instalación de esta guía.
- Si instalas AI Center en una máquina habilitada para FIPS 140-2 y también utilizas Microsoft SQL Server, hay que realizar configuración adicional. Para obtener más información, consulta Requisitos de SQL para AI Center.
- Asegúrate de que Insights está deshabilitado, ya que no se admite en FIPS 140-2.
Establece el marcador fips_enabled_nodes en true en el archivo input.json .
Asegúrate de que tus certificados son compatibles con FIPS 140-2.

Nota:
De forma predeterminada, Automation Suite genera certificados autofirmados compatibles con FIPS 140-2 cuya fecha de caducidad depende del tipo de instalación de Automation Suite que elijas.

Se recomienda encarecidamente reemplazar estos certificados autofirmados por certificados emitidos por una autoridad de certificación en el momento de la instalación. Para utilizar Automation Suite en máquinas habilitadas para FIPS 140-2, los certificados recién proporcionados deben ser compatibles con FIPS 140-2. Para obtener una lista de cifrados aptos compatibles con RHEL, consulta la documentación de RHEL.

Para obtener más información sobre cómo añadir tus propios certificados TLS y de firma de tokens compatibles con FIPS 140-2, consulta Configuración de certificados.

Escenario 2: instalaciones existentes

Puedes instalar Automation Suite en máquinas con FIPS 140-2 deshabilitado y luego, habilitar el estándar de seguridad en las mismas máquinas. Esto también es posible al actualizar a una nueva versión de Automation Suite.

Para habilitar FIPS 140-2 en las máquinas en las que ya has realizado una instalación de Automation Suite, realiza los siguientes pasos:

Realiza una instalación o actualización normal de Automation Suite en máquinas con FIPS 140-2 deshabilitado.
Habilita FIPS 140-2 en todas tus máquinas.
Asegúrate de que tus certificados son compatibles con FIPS 140-2.

Nota:
Para utilizar Automation Suite en máquinas habilitadas para FIPS 140-2, debes reemplazar tus certificados por los nuevos certificados compatibles con FIPS 140-2 firmados por una autoridad de certificación. Para obtener una lista de cifrados aptos compatibles con RHEL, consulta la documentación de RHEL.

Para obtener más información sobre cómo añadir tus propios certificados TLS y de firma de tokens compatibles con FIPS 140-2, consulta Configuración de certificados.

Para obtener más información sobre los certificados, consulta .
Asegúrate de que tu selección de productos está en línea con los requisitos de FIPS-140-2:
- Si instalas AI Center en una máquina habilitada para FIPS 140-2 y también utilizas Microsoft SQL Server, hay que realizar configuración adicional. Para obtener más información, consulta Requisitos de SQL para AI Center.
- Si previamente has habilitado Insights, deberás deshabilitarlo, ya que no cumple con la norma FIPS 140-2. Para obtener más detalles sobre cómo deshabilitar productos después de la instalación, consulta Gestionar productos.
Reinicia tus máquinas y comprueba si has habilitado correctamente FIPS 140-2.
Vuelve a ejecutar el instalador uipathctl.