红帽全球峰会1.3. 如何使用用户访问
User Access 功能基于管理角色,而不是单独为特定用户分配权限。在 User Access 中,每个角色都有一组特定的权限。例如,角色可能允许应用的读取权限。另一个角色可能允许应用程序的写入权限。
您可以创建包含角色和按扩展方式分配给每个角色的组。您可以将用户分配给组。这意味着,组中的每个用户都被分配了该组中角色的权限。
通过创建不同的组并添加或删除该组的角色,您可以控制该组允许的权限。将一个或多个用户添加到组中时,用户可以执行该组允许的所有操作。
红帽为用户访问提供两个默认访问组:
- 默认 admin 访问 组。Default admin access 组仅限于您机构中机构管理员用户。您无法更改或修改 Default admin access 组中的角色。
默认访问组。Default access 组包含您机构中的所有经过身份验证的用户。这些用户会自动继承所选预定义角色。
注意您可以对 Default access 组进行更改。但是,当您这样做时,其名称会变为 Custom default access 组。
红帽提供了一组预定义角色。根据应用程序,每个支持的应用程序的预定义角色可能具有不同的权限,这些权限是为应用程序量身定制。
1.3.1. Default admin access 组
默认 admin 访问 组由红帽在 Red Hat Hybrid Cloud Console 上提供。它包含一组角色,分配给系统上具有机构管理员角色的所有用户。此组中的角色在 Red Hat Hybrid Cloud Console 中进行了预定义。
Default admin access 组中的角色无法添加到或修改。由于此组是由红帽提供的,因此当红帽将角色分配给 Default admin access 组时,会自动更新它。
Default admin access 组的好处是它允许将角色自动分配给机构管理员。
如需 Default admin access 组中包含的角色,请参阅 预定义的用户访问角色。
1.3.2. Default access 组
默认访问组 由红帽在 Red Hat Hybrid Cloud Console 上提供。它包含一组在 Red Hat Hybrid Cloud Console 中预定义的角色。Default access 组包含您机构中的所有经过身份验证的用户。当在 Red Hat Hybrid Cloud Console 中添加 Default access 组角色时,Default access 组会自动更新。
Default 访问 组包含所有预定义角色的子集。如需更多信息,请参阅 Default admin access group 中包含的角色的预定义 用户访问 角色部分。
作为机构管理员,您可以添加角色来并从 Default 访问 组中删除角色。当这样做时,其名称会更改为 Custom default access 组。您对此组所做的更改会影响您机构中所有经过身份验证的用户。
1.3.3. Custom default access 组
手动修改 Default 访问组时,其名称会更改为 Custom default access,这表示它已被修改。此外,它不再从 Red Hat Hybrid Cloud Console 自动更新。
从那时起,机构管理员负责对 自定义默认访问组的所有更新和更改。该组不再由 Red Hat Hybrid Cloud Console 管理或更新。
您不能删除 Default access 组或 Custom default access 组。
您可以恢复 Default 访问 组,它会删除 Custom default access 组以及您所做的任何更改。请参阅恢复 Default access 组。
1.3.4. User Access groups、角色和权限
用户访问使用以下类别来确定机构管理员可以授予受支持的 Red Hat Hybrid Cloud Console 服务的用户访问权限级别。提供给任何授权用户的访问权限取决于用户所属的组以及分配给该组的角色。
- 组 :属于帐户的用户集合,提供角色与用户的映射。机构管理员可以使用组为组分配一个或多个角色,并在组中包含一个或多个用户。您可以创建一个没有角色且没有用户的组。
- 角色 :一组提供给定服务访问权限的权限,如 Insights。对特定角色分配执行某些操作的权限。角色分配到组。例如,您可能具有服务的 read 角色和 write 角色。将这两个角色添加到组中,将该组的所有成员授予该服务的读写权限。
- 权限 :可以请求的离散操作。权限分配给角色。
机构管理员向组中添加或删除角色和用户。组可以是机构管理员创建的新组,或者组可以是现有组。通过创建具有一个或多个特定角色的组,然后将用户添加到该组,您可以控制该组及其成员如何与 Red Hat Hybrid Cloud Console 服务进行交互。
当您将用户添加到组中时,它们会成为该组的成员。组成员继承其所属的所有其他组的角色。用户界面在 Members 选项卡中列出用户。
1.3.5. 可添加的访问
Red Hat Hybrid Cloud Console 上的用户访问使用额外的模型,这意味着没有 拒绝 角色。换句话说,只允许操作。若要控制访问权限,请为组分配具有所需权限的适当角色,然后将用户添加到这些组中。允许访问任何单个用户的权限是分配给该用户所属的所有组的所有角色的总和。
1.3.6. 访问结构
下图是用户访问的用户访问结构的概述:
- 组 :用户可以是一个或多个组的成员。
- 角色 :角色可以添加到一个或多个组中。
- 权限 :可以为角色分配一个或多个权限。
在其初始默认配置中,所有 User Access 帐户用户都会继承 Default access 组中提供的角色。
添加到组的任何用户都必须是 Red Hat Hybrid Cloud Console 上机构帐户的经过身份验证的用户。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}