検索
サポートコンソール開発者トライアルの開始お問い合わせ

32.3. ロールの機能: 編集および作成

download PDF

組織の「リソースロール」機能は、ワークフローなど、特定のリソースタイプに固有です。このようなロールのメンバーになると、通常、2 種類のパーミッションが提供されます。ユーザーに組織「デフォルト」の "workflow admin role" が付与されている場合、ユーザーには次のパーミッションが与えられます。

  • このユーザーは、組織 "Default" に新しいワークフローを作成できます。
  • このユーザーは "Default" 組織の全ワークフローを編集できます。

例外として、ジョブテンプレートが挙げられます。ロールを所有していても作成パーミッションがあるわけではありません。詳細は、ジョブテンプレート を参照してください。

32.3.1. リソースロールおよび組織のメンバーシップロールの独立性

リソース固有の組織ロールは、管理者およびメンバーの組織ロールから独立しています。「デフォルト」組織の "workflow administrator role" を持っていても、ユーザーは組織内の全ユーザーを表示できませんが、「デフォルト」組織の "member" ロールを持っている場合は表示できます。2 種類のロールは、互いに独立して委任されます。

32.3.1.1. ジョブテンプレートの編集に必要なパーミッション

ユーザーは、ジョブテンプレート管理者ロールのみを使用して、ジョブの実行に影響を与えないフィールド (機密でないフィールド) を編集できます。ただし、ジョブテンプレートでジョブの実行に影響を与えるフィールドを編集するには、ユーザーは以下のロールを持っている必要があります。

  • ジョブテンプレートとコンテナーグループの admin ロール
  • 関連プロジェクトの use ロール
  • 関連するインベントリーの use ロール
  • 関連するインスタンスグループの use ロール

"organization job template admin" ロールが導入されましたが、このロールを付与するだけでは、プロジェクト、インベントリー、インスタンスグループの use ロールまたは、ジョブテンプレートが使用するコンテナーグループへの admin ロールがない場合に、組織内のジョブテンプレートを編集できません。

(組織内の) ジョブテンプレートの 完全な 制御をユーザーまたはチームに委任するには、そのチームまたはユーザーに次の 3 つの組織レベルのロールをすべて付与する必要があります。

  • job template administrator
  • project administrator
  • inventory administrator

上記を割り当てると、ユーザー (またはこれらのロールを持つチームのメンバーであるすべてのユーザー) が、組織内のジョブテンプレートを変更する完全なアクセス権が割り当てられます。ジョブテンプレートが別の組織からのインベントリーまたはプロジェクトを使用する場合、これらの組織ロールを持つユーザーは、そのジョブテンプレートの変更権限はありません。パーミッション管理を明確にするため、異なる組織のプロジェクトやインベントリーを混合しないでください。

32.3.1.2. RBAC 権限

各ロールにはコンテンツオブジェクトが必要です。たとえば、組織管理者のロールには組織のコンテンツオブジェクトがあります。ロールを委任するには、ユーザーのパスワードをリセットできる一部の例外を除き、コンテンツオブジェクトに対する管理者パーミッションが必要です。

Parent は組織です。

Allow は新規パーミッションで明示的に許可される内容です。

Scope は、この新しいロールが作成される親リソースです。例: Organization.project_create_role

リソースの作成者には、そのリソースの管理者ロールが付与されていると想定されます。リソースを作成しても、リソースの管理が行われるとは限らないインスタンスを明示的に呼び出します。

各管理者のタイプに関連付けられたルールは次のとおりです。

Project Admin

  • 許可: プロジェクトの作成、読み取り、更新、削除
  • 範囲: 組織
  • ユーザーインターフェース: Project Add Screen - Organizations

Inventory Admin

  • 親: 組織管理者
  • 許可: インベントリーの作成、読み取り、更新、削除
  • 範囲: 組織
  • ユーザーインターフェース: Inventory Add Screen - Organizations
注記

Use ロールと同様に、プロジェクト管理者ロールとインベントリー管理者ロールをユーザーに割り当てると、ユーザーは組織のジョブテンプレート (ワークフローではなく) を作成できるようになります。

Credential Admin

  • 親: 組織管理者
  • 許可: 共有されている認証情報の作成、読み取り、更新、削除
  • 範囲: 組織
  • ユーザーインターフェース: Credential Add Screen - Organizations

Notification Admin

  • 親: 組織管理者
  • 許可: 通知の割り当て
  • 範囲: 組織

Workflow Admin

  • 親: 組織管理者
  • 許可: ワークフローの作成
  • 範囲: 組織

Org Execute

  • 親: 組織管理者
  • 許可: ジョブテンプレートとワークフロージョブテンプレートの実行
  • 範囲: 組織

以下は、組織とそのロール、それぞれがアクセスできるリソースを示すシナリオ例です。

RBAC resources

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.