Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 5 章 使用基于角色的访问控制管理访问权限

基于角色的访问控制(RBAC)根据用户在 Ansible Automation Platform 中分配的机构中的角色限制用户访问。RBAC 中的角色指的是用户对 Ansible Automation Platform 组件和资源的访问权限级别。

您可以根据 RBAC 策略,控制用户可以在广泛或粒度级别使用 Ansible Automation Platform 组件的功能。您可以指定用户是否为系统管理员还是普通用户,并将角色和访问权限与机构中的位置保持一致。

角色可以使用多个权限定义,然后分配给资源、团队和用户。组成角色的权限决定了分配的角色允许什么。仅分配权限,仅为用户分配所需的访问权限来执行适合其角色的任务。

5.1. 机构

机构是用户、团队和资源的逻辑集合。它是 Ansible Automation Platform 对象层次结构中的最高级别对象。创建机构后,Ansible Automation Platform 会显示机构详情。然后,您可以管理组织的访问和执行环境。Ansible Automation Platform 会自动创建一个默认机构,系统管理员会自动分配给这个机构。如果您有自助支持级别许可证,则只有默认机构可用,且不得将其删除。

5.1.1. 机构列表视图

机构 页面显示您的安装的现有机构。在这里,您可以搜索特定的机构,过滤机构列表,或更改列表的排序顺序。

流程

  1. 在导航面板中,选择 menu:Access Management Organizations
  2. 在搜索栏中,为您要搜索的机构输入适当的关键字,然后单击箭头图标。
  3. 在菜单栏中,您可以使用 Name 的箭头来对机构列表进行排序。
  4. 您还可以通过从 排序 列表中选择 NameCreatedLast modified 对列表进行排序。
  5. 您可以点 Organizations 页面中的 机构名称 来查看机构详情。

5.1.2. 创建机构

Ansible Automation Platform 会自动创建一个默认机构。如果您有自助支持级别许可证,则只有默认机构可用且无法删除它。

流程

  1. 在导航面板中,选择 Access Management Organizations
  2. 单击 Create organization

  3. 输入 Name,并选择性地为您的机构提供 描述

    注意

    如果在平台上启用了自动化控制器,请继续第 4 步。否则,继续执行第 6 步。

  4. 选择 Execution 环境 的名称,或搜索存在此团队成员可以运行自动化的环境的名称。
  5. 输入要 在其上运行此 机构的实例组的名称。
  6. 可选:输入 Galaxy 凭证 或从现有凭证列表中搜索。

  7. 选择此机构的 Max hosts。默认值为 0。当这个值为 0 时,它表示没有限制。如果您试图将主机添加到已达到或超过其在主机上上限的机构中,则会显示错误消息: 

    You have already reached the maximum number of 1 hosts allowed for your organization. Contact your System Administrator for assistance.
  8. 点击 Next

  9. 如果您选择了超过 1 个实例组,您可以通过将实例组拖放到列表中或缩减来管理顺序,然后点 Confirm

    注意

    执行优先级由实例组列出的顺序决定。

  10. Next 并验证机构设置。
  11. 单击 Finish

5.1.3. 访问机构

您可以从 Organizations 列表视图中选择机构并选择要提供对 用户管理员 或团队访问权限的关联选项卡来管理对组织的访问。???

5.1.3.1. 将用户添加到机构

您可以将一个用户添加到机构,并管理与用户关联的角色,从而为用户提供对机构的访问权限。要将用户添加到机构中,该用户必须已存在。如需更多信息,请参阅 创建用户。要为用户添加角色,该角色必须已经存在。如需更多信息 ,请参阅创建角色

在将用户添加到机构时,可以使用以下选项卡选择:在升级过程中,当自动化控制器机构中的用户帐户已迁移到 Ansible Automation Platform 2.5 时,Automation Execution 选项卡会根据用户是否添加到机构前是否显示内容。

Ansible Automation Platform
反映在平台级别添加到机构的所有用户。在这个标签页中,您可以将用户添加到机构成员,并选择性地提供特定的机构级别角色。
自动化执行
反映在升级和迁移前直接添加到自动化控制器机构的用户。在这个标签页中,您只能查看自动化控制器中的现有成员资格,并删除这些成员资格,但不能添加新成员资格。

机构的新用户成员资格必须在平台级别添加。

流程

  1. 在导航面板中,选择 Access Management Organizations
  2. Organizations 列表视图中,选择要向其添加用户的组织。
  3. Users 选项卡添加用户。
  4. 选择 Ansible Automation Platform 选项卡,点 Add users 为团队添加用户访问权限,或者选择 Automation Execution 选项卡从团队中查看或删除用户访问权限。
  5. 单击名称旁边的复选框,从列表中选择一个或多个用户,将它们添加为成员。
  6. 点击 Next

  7. 选择您要所选用户具有的角色。向下滚动以获得完整的角色列表。

    注意

    如果安装了多个 Ansible Automation Platform 组件,您将在 Roles 菜单栏中看到与每个组件关联的角色选择。例如,自动化控制器角色的 Automation Execution,Event-Driven Ansible 角色的 Automation Decisions。

  8. Next 以查看角色设置。

  9. Finish 将角色应用到所选用户,并将它们添加为成员。Add roles 对话框显示为每个用户分配的更新角色。

    注意

    如果具有关联角色的用户被重新分配给另一个机构,则会保留它们。

  10. 要从机构中删除特定用户,请从用户旁的 More actions && 列表中选择 Remove user。这会启动一个确认对话框,要求您确认删除。
  11. 若要管理组织中用户的角色,请单击用户旁边的 HEKETI 图标,再选择 Manage roles

5.1.3.2. 将管理员添加到机构

您可以将管理员添加到机构中,以允许他们管理机构的成员和设置。例如,他们可以在机构中创建新用户和团队,并为该机构中的用户授予权限。要向机构添加管理员,用户必须已经存在。

流程

  1. 在导航面板中,选择 Access Management Organizations
  2. 从 Organizations 列表视图中,选择要向其添加用户、管理员或团队的组织。
  3. Administrators 选项卡。
  4. 单击 Add administrator
  5. 单击名称旁边的复选框,为他们分配此机构的管理员角色,以从列表中选择用户。
  6. 单击 Add administrator

  7. 要从机构中删除特定的管理员,请从管理员名称旁边的 More actions && 列表中选择 Remove administrator。这会启动一个确认对话框,要求您确认删除。

    注意

    如果用户之前已添加为这个机构的成员,则他们将继续成为这个机构的成员。但是,如果在进行管理员分配时将它们添加到机构中,则会从机构中删除它们。

5.1.3.3. 将团队添加到机构中

您可以通过向团队添加角色来为团队团队提供访问权限。要为团队添加角色,团队必须已存在于机构中。如需更多信息,请参阅创建团队。要为团队添加角色,该角色必须已经存在。如需更多信息 ,请参阅创建角色

流程

  1. 在导航面板中,选择 Access Management Organizations
  2. 从 Organizations 列表视图中,选择要添加团队访问权限的机构。
  3. Teams 选项卡。如果没有团队存在,点 Create team 创建团队并将其添加到这个机构中。
  4. Add roles

  5. 选择您要所选团队具有的角色。向下滚动以获得完整的角色列表。

    注意

    如果安装了多个 Ansible Automation Platform 组件,您将在 Roles 菜单栏中看到与每个组件关联的角色选择。例如,自动化控制器角色的 Automation Execution,Event-Driven Ansible 角色的 Automation Decisions。

  6. Next 以查看角色设置。
  7. Finish 将角色应用到所选团队。Add roles 对话框显示为每个团队分配的更新角色。

  8. Close

    注意

    如果团队被重新分配给另一个机构,则具有关联角色的团队会保留它们。

  9. 要管理组织中团队的角色,请单击用户旁边的 HEKETI 图标,再选择 Manage roles

5.1.3.4. 删除机构

在删除机构前,您必须是机构管理员或系统管理员。当您删除机构时,机构、团队、用户和资源将从 Ansible Automation Platform 中永久删除。

注意

当您尝试删除由其他资源使用的项目时,会显示一条消息,通知您删除可能会影响其他资源并提示您确认删除。有些屏幕包含无效的或之前已被删除的项目,且无法运行。

流程

  1. 在导航面板中,选择 Access Management Organizations
  2. 点击您要删除的机构旁边的 resources 图标,然后选择 Delete organization

  3. 选择确认复选框,然后点 Delete organizations 继续删除。否则,请单击 Cancel

    注意

    您可以通过选择您要删除的每个机构旁边的复选框来删除多个机构,然后从菜单栏中的 More actions && 列表中选择 Delete selected organizations

5.1.4. 使用通知程序

当平台上启用了自动化控制器时,您可以查看您已设置并管理其机构中设置的任何通知程序集成。

流程

  1. 在导航面板中,选择 Access Management Organizations
  2. Organizations 列表视图中,选择要管理通知的组织。
  3. 选择 Notification 选项卡。
  4. 使用切换按钮启用或禁用要与特定机构搭配使用的通知。如需更多信息,请参阅 启用和禁用通知
  5. 如果没有设置通知程序,请从导航面板中选择 Automation Execution Administration Notifiers

有关配置通知类型的详情,请参考 通知类型

5.1.5. 使用执行环境

当平台上启用了自动化控制器时,您可以查看您已设置并管理其在机构资源内设置的任何执行环境。

有关执行环境的更多信息,请参阅使用自动化执行环境指南中的 执行环境https://docs.redhat.com/en/documentation/red_hat_ansible_automation_platform/2.5/html/using_automation_execution/assembly-controller-execution-environments

流程

  1. 在导航面板中,选择 Access Management Organizations
  2. 从 Organizations 列表视图中,选择您要管理的执行环境的组织。
  3. 选择 Execution Environments 选项卡。
  4. 如果没有可用的执行环境,点 Create execution environment 创建一个。或者,您可以通过选择 Automation Execution Infrastructure Execution Environments 从导航面板中创建执行环境。

  5. 单击 Create execution environment

    注意

    创建新的执行环境后,返回到 Access Management Organizations,再选择您在其中创建执行环境的组织来更新该选项卡上的列表。

  6. 选择要与特定机构搭配使用的执行环境。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.