第 6 章权限策略参考

Red Hat Developer Hub 中的权限策略是一组规则，用于管理对资源或功能的访问。这些策略基于其角色来说明授予用户的授权级别。实施权限策略，以维护给定环境中的安全性和保密性。

您可以在 Developer Hub 中定义以下类型的权限：

资源类型
基本的

两种权限类型之间的区别取决于权限是否包含定义的资源类型。

您可以使用关联的资源类型或权限名称来定义资源类型权限，如下例所示：

资源类型权限定义示例

p, role:default/myrole, catalog.entity.read, read, allow
g, user:default/myuser, role:default/myrole

p, role:default/another-role, catalog-entity, read, allow
g, user:default/another-user, role:default/another-role

您可以使用权限名称在 Developer Hub 中定义基本权限，如下例所示：

基本权限定义示例

p, role:default/myrole, catalog.entity.create, create, allow
g, user:default/myuser, role:default/myrole

Developer Hub 支持以下权限策略：

目录权限: .catalog 权限

Name	资源类型	policy	描述
`catalog.entity.read`	`catalog-entity`	`读取`	允许用户或角色从目录中读取
`catalog.entity.create`		`create`	允许用户或角色创建目录实体，包括在目录中注册现有组件
`catalog.entity.refresh`	`catalog-entity`	`update`	允许用户或角色从目录中刷新一个或多个实体
`catalog.entity.delete`	`catalog-entity`	`delete`	允许用户或角色从目录中删除单个或多个实体
`catalog.location.read`		`读取`	允许用户或角色从目录中读取单个或多个位置
`catalog.location.create`		`create`	允许用户或角色在目录中创建位置
`catalog.location.delete`		`delete`	允许用户或角色从目录中删除位置

批量导入权限: .bulk 导入权限

Name	资源类型	policy	描述
`bulk.import`	`bulk-import`	`use`	允许用户访问批量导入端点，如列出所有 GitHub 集成可访问的所有存储库和机构，并管理导入请求

Scaffolder 权限: .Scaffolder 权限

Name	资源类型	policy	描述
`scaffolder.action.execute`	`scaffolder-action`	`use`	允许从模板执行操作
`scaffolder.template.parameter.read`	`scaffolder-template`	`读取`	允许用户或角色从模板中读取单个或多个参数
`scaffolder.template.step.read`	`scaffolder-template`	`读取`	允许用户或角色从模板读取单个或多个步骤
`scaffolder.task.create`		`create`	允许用户或角色触发软件模板，以创建新的构建程序任务
`scaffolder.task.cancel`		`use`	允许用户或角色取消当前运行的构建程序任务
`scaffolder.task.read`		`读取`	允许用户或角色读取所有构建器任务及其关联的事件和日志

RBAC 权限: .RBAC 权限

Name	资源类型	policy	描述
`policy.entity.read`	`policy-entity`	`读取`	允许用户或角色读权限策略和角色
`policy.entity.create`	`policy-entity`	`create`	允许用户或角色创建单个或多个权限策略和角色
`policy.entity.update`	`policy-entity`	`update`	允许用户或角色更新单个或多个权限策略和角色
`policy.entity.delete`	`policy-entity`	`delete`	允许用户或角色删除一个或多个权限策略和角色

Kubernetes 权限: .Kubernetes 权限

Name	资源类型	policy	描述
`kubernetes.proxy`		`use`	允许用户或角色访问代理端点

OCM 权限: 基本 OCM 权限只限制对集群视图的访问，但它们不会阻止访问资源视图中的 Kubernetes 集群。要获得更有效的权限，请考虑应用条件策略来限制对类型为 kubernetes-cluster 的目录实体的访问。访问限制取决于授予角色的权限集合。例如，如果角色具有完整权限(读取、update 和 delete)，则必须在 permissionMapping 字段中指定其所有权限。

permissionMapping 定义示例

result: CONDITIONAL
roleEntityRef: 'role:default/<YOUR_ROLE>'
pluginId: catalog
resourceType: catalog-entity
permissionMapping:
  - read
  - update
  - delete
conditions:
  not:
    rule: HAS_SPEC
    resourceType: catalog-entity
    params:
      key: type
      value: kubernetes-cluster

Name	资源类型	policy	描述
`ocm.entity.read`		`读取`	允许用户或角色从 OCM 插件读取
`ocm.cluster.read`		`读取`	允许用户或角色读取 OCM 插件中的集群信息

拓扑权限: .topology 权限

Name	资源类型	policy	描述
`topology.view.read`		`读取`	允许用户或角色查看拓扑插件
`kubernetes.proxy`		`use`	允许用户或角色访问代理端点，允许用户或角色读取 RHDH 中的 pod 日志和事件

第 6 章权限策略参考

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Red Hat legal and privacy links

Red Hat legal and privacy links

第 6 章 权限策略参考

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Red Hat legal and privacy links

Red Hat legal and privacy links

第 6 章权限策略参考