红帽全球峰会32.3. 角色的功能:编辑和创建
机构"资源角色"功能特定于特定资源类型,如工作流。作为此类角色的成员通常提供两种类型的权限:如果用户被授予机构 "Default" 的 "workflow admin role",则具有以下权限:
- 此用户可以在机构 "Default" 中创建新工作流
- 此用户可编辑 "Default" 机构中的所有工作流
一个例外是作业模板,其中拥有角色独立于创建权限。如需更多信息,请参阅 作业模板。
32.3.1. 资源角色和机构成员资格角色的独立性
特定于资源的机构角色独立于管理员和成员的组织角色。拥有"Default"机构的"workflow 管理员角色"不允许用户查看机构中所有用户,但"Default"机构中具有 "member" 角色。两种角色互相独立委托。
32.3.1.1. 编辑作业模板所需的权限
用户可以仅使用作业模板管理员角色单独编辑不会影响作业运行的字段(非敏感字段)。但是,要编辑影响作业模板中运行的字段,用户必须具有以下内容:
- 作业模板和容器组的 admin 角色
- 相关项目的 使用 角色
- 相关清单的 使用 角色
- 相关实例组的 使用 角色
引入了"organization job template admin"角色,但如果用户没有项目、清单或 实例组使用 角色,则此角色本身不足以编辑该机构内的作业模板。
要将 完整的 作业模板控制(位于机构中)委派给用户或团队,您必须授予团队或用户所有三个机构级角色:
- 作业模板管理员
- 项目管理员
- 清单管理员
这样可确保用户(或属于具有这些角色的团队成员的所有用户)具有修改机构中作业模板的完整访问权限。如果作业模板使用另一个机构的清单或项目,则具有这些机构角色的用户仍然可以具有修改该作业模板的权限。为了清晰起见,请不要混合来自不同机构的项目或清单。
32.3.1.2. RBAC 权限
每个角色都必须有一个内容对象,例如,机构管理员角色具有机构的内容对象。要委派角色,您必须具有内容对象的管理员权限,但有些例外情况会导致您可以重置用户的密码。
parent 是组织。
allow 是这个新权限将明确允许的内容。
范围 是创建此新角色的父资源。例如: Organization.project_create_role。
假设资源的创建者被授予该资源的管理员角色。资源创建并不意味着明确指定资源管理的实例。
与每种管理员类型关联的规则如下:
项目管理员
- Allow:创建、读取、更新、删除任何项目
- Scope:机构
- User Interface: 项目添加屏幕 - 机构
清单管理员
- Parent:机构管理员
- Allow:创建、读取、更新、删除任何清单
- Scope:机构
- User Interface: 清单添加屏幕 - 机构
与 Use 角色一样,如果您为用户分配了 Project Administrator 和 Inventory Administrator 角色,它允许他们为您的机构创建作业模板(而非工作流)。
凭证管理员
- Parent:机构管理员
- Allow:创建、读取、更新、删除共享凭证
- Scope:机构
- User Interface: 凭证添加屏幕 - 机构
通知管理员
- Parent:机构管理员
- Allow:通知的分配
- Scope:机构
工作流管理员
- Parent:机构管理员
- Allow:创建工作流
- Scope:机构
机构执行
- Parent:机构管理员
- Allow:执行作业模板和工作流作业模板
- Scope:机构
以下是一个示例场景,显示了一个机构及其角色,以及每个角色可以访问哪些资源:
