1.3. User Access の使用方法
ユーザーアクセス機能は、特定のユーザーに個別に権限を割り当てるのではなく、ロールの管理に基づいています。ユーザーアクセスでは、各ロールに特定のパーミッションセットがあります。たとえば、ロールはアプリケーションの読み取りパーミッションを許可する場合があります。別のロールによって、アプリケーションの書き込みパーミッションが許可される可能性があります。
ロールを含むグループを作成し、拡張で各ロールに割り当てられたパーミッションを作成します。グループにユーザーを割り当てます。つまり、グループ内の各ユーザーには、そのグループ内のロールのパーミッションが付与されます。
異なるグループを作成し、そのグループのロールを追加または削除することで、そのグループに許可されるパーミッションを制御できます。グループにユーザーを追加すると、1 人以上のユーザーはそのグループに許可されたすべてのアクションを実行できます。
Red Hat は、ユーザーアクセス用に 2 つのデフォルトアクセスグループを提供します。
- Default admin access グループ。Default admin access グループは、組織内の組織管理者ユーザーに制限されています。Default admin access グループのロールを変更または修正することはできません。
Default access グループ。Default access グループには、組織内の認証されたすべてのユーザーが含まれます。これらのユーザーは、事前定義されたロールの選択を自動的に継承します。
注記Default access グループに変更を加えることができます。ただし、これを行うと、その名前が Custom default access グループに変更されます。
Red Hat は、事前に定義されたロールのセットを提供します。アプリケーションによっては、対応のアプリケーションごとに事前定義されたロールでは、アプリケーションに対してカスタマイズされるパーミッション異なる場合があります。
1.3.1. Default admin access グループ
Default admin access グループは、Red Hat によって Red Hat Hybrid Cloud Console で提供されます。これには、システムで組織管理者のロールを持つすべてのユーザーに割り当てられる一連のロールが含まれています。このグループのロールは、Red Hat Hybrid Cloud Console で事前定義されています。
Default admin access グループのロールは、追加または変更できません。このグループは Red Hat によって提供されるため、Red Hat が Default admin access グループにロールを割り当てると自動的に更新されます。
Default admin access グループの利点は、組織管理者にロールを自動的に割り当てることができることです。
デフォルトの管理者アクセス グループに含まれるロールは、事前定義されたユーザーアクセスロール を参照してください。
1.3.2. Default access グループ
Default access グループは、Red Hat によって Red Hat Hybrid Cloud Console で提供されます。これには、Red Hat Hybrid Cloud Console で事前定義されたロールのセットが含まれます。Default access グループには、組織内の認証されたすべてのユーザーも含まれます。デフォルトのアクセス グループが Red Hat Hybrid Cloud Console に追加されると、デフォルトのアクセス グループは自動的に更新されます。
Default access グループには、事前定義されたすべてのロールのサブセットが含まれます。詳細は、デフォルトの管理者アクセス グループに含まれるロールについて 定義済みユーザーアクセスロール セクションを参照してください。
組織管理者は、Default access グループに対するロールの追加/削除が可能です。これを行うと、その名前が Custom default access グループに変更されます。このグループに加える変更は、組織内のすべての認証ユーザーに影響します。
1.3.3. Custom default access グループ
Default accessグループを手動で変更すると、その名前が Custom default access になり、内容が変更されたことを示します。さらに、Red Hat Hybrid Cloud Console から自動的に更新されなくなります。
この以降、組織管理者は、Custom default access グループへの更新および変更をすべて行います。このグループは、Red Hat Hybrid Cloud Console で管理または更新されなくなりました。
Default access グループまたは Custom default access グループを削除することはできません。
Default access グループを復元でき、Custom default access グループと変更を加えたすべての変更が削除されます。デフォルトアクセスグループの復元 を参照してください。
1.3.4. ユーザーアクセスグループ、ロール、パーミッション
ユーザーアクセスは以下のカテゴリーを使用して、組織管理者がサポートされる Red Hat Hybrid Cloud Console サービスに付与できるユーザーアクセスのレベルを決定します。許可されたユーザーに提供されるアクセスは、そのユーザーが属するグループと、そのグループに割り当てられたロールによって異なります。
- Group: ロールをユーザーにマッピングするアカウントに属するユーザーのコレクション。組織管理者は、グループを使用してグループにロールを割り当て、グループにユーザーを追加することができます。ロールがなく、ユーザーがないグループも作成できます。
- Role: Insights などの特定サービスへのアクセスを提供するパーミッションのセット。特定の操作を実行するパーミッションは特定のロールに割り当てられます。ロールはグループに割り当てられます。たとえば、サービスに read ロールと write ロールがあるとします。両方のロールをグループに追加すると、そのグループのすべてのメンバーに、そのサービスの読み取りおよび書き込みパーミッションが付与されます。
- Permissions: サービスの要求可能な個別のアクション。パーミッションはロールに割り当てられます。
組織管理者は、ロールとユーザーをグループに追加するか、削除します。グループは、組織管理者によって作成された新規グループにすることも、グループを既存グループにすることもできます。特定のロールを持つグループを作成し、そのグループにユーザーを追加することにより、そのグループとそのメンバーが Red Hat Hybrid Cloud Console サービスと対話する方法を制御できます。
グループにユーザーを追加すると、そのグループのメンバーになります。グループメンバーは、所属する他のすべてのグループのロールを継承します。ユーザーインターフェイスは Members タブにユーザーをリスト表示します。
1.3.5. 追加アクセス
Red Hat Hybrid Cloud Console のユーザーアクセスは追加モデルを使用します。つまり、deny ロールはありません。つまり、アクションが許可されるだけです。アクセスを制御するには、必要な権限を持つ適切なロールをグループに割り当て、ユーザーをそのグループに追加します。個別のユーザーに許可されるアクセスは、そのユーザーが属するすべてのグループに割り当てられたすべてのロールになります。
1.3.6. アクセス構造
以下は、ユーザーアクセスのユーザーアクセス構造の概要です。
- Group: ユーザーは 1 つまたは複数のグループのメンバーになります。
- Role: 1 つまたは複数のグループにロールを追加できます。
- Permission: 1 つまたは複数のパーミッションをロールに割り当てることができます。
初期のデフォルト設定では、すべてのユーザーアクセスアカウントユーザーが Default access グループで提供されるロールを継承します。
グループに追加するユーザーは、Red Hat Hybrid Cloud Console の組織アカウントの認証ユーザーである必要があります。
