红帽全球峰会3.2. 用户访问工作区
通过工作区,您可以将清单中的系统分组到逻辑单元中,如位置、部门或目的。每个系统都只能属于一个工作区。
工作区也支持基于角色的访问控制(RBAC)。根据用户角色,使用 RBAC 在工作区上设置自定义权限。
Workspace administrator User Access 角色允许您创建工作区。此角色自动包含在 Default Access 组中,且无法从其中删除。但是,具有此角色的用户可以修改任何工作区。仅为 有权访问整个系统清单的用户提供此角色。
要让用户可以使用工作区和 RBAC 限制对特定系统的访问,该用户必须是 Default Access 组的成员,或者具有 Workspace 管理员 和 User Access Administrator 角色。
工作区用户具有 组级 RBAC 权限。自定义权限包括:
inventory:groups:read
- 查看工作区详情页面
inventory:groups:write
- 重命名工作区
- 将系统添加到工作区
- 从工作区中删除系统
用户在没有 inventory:hosts:read 权限的情况下无法查看工作区中的系统。
系统用户具有 系统级别的 RBAC 权限。它们可以执行以下工作区操作:
inventory:hosts:read
- 查看工作区中的所有系统及其详情,或者查看未分组的系统
- 查看其他 Insights 服务的系统信息
inventory:hosts:write
- 重命名系统
- 删除系统
3.2.1. 管理用户对 Workspaces 的访问
如果您无法访问 Workspaces,进入 Inventory > Workspaces 会显示 所需的消息 Workspace 访问权限。
请注意,您仍然可以查看分配给您具有读取访问权限的系统的工作区名称,即使您无法访问工作区本身。要查看包含系统的工作区,您需要具有 Workspaces Viewer 角色,或者分配 Workspace view 权限。
在 RBAC 配置中进行更改之前,请查看 User Scenarios 部分中的已知限制列表。
有关管理用户访问权限、分配角色和向用户访问组添加成员的更多信息,请参阅基于角色的访问控制(RBAC)的用户访问配置指南。
3.2.1.1. 创建自定义用户访问角色
使用 User Access 应用程序为您的工作区配置用户访问权限。
创建自定义角色:
- 单击右上角的 Settings 图标(swig),然后选择 User Access 以导航到 User Access 应用程序。显示 Identity & Access Management 主页面。
- 在左侧导航菜单中,单击 Roles。
- 单击 Create role。显示 Create Role 向导。
选择是否要创建新角色,还是复制现有角色。
- 要创建新角色,请从 头选择创建角色。
- 要复制现有角色,请选择 Copy an existing role。此时会显示一个角色列表。选择您要复制的角色,然后点 Next。
- 将新角色命名为。如果需要,添加描述。
- 点击 Next。Add permissions 页面会显示。
Applications 过滤器默认显示。单击 Filter by application 下拉菜单,再选择 inventory 以显示所有可用的清单权限。
四个清单权限包括:
- inventory:hosts:read - 允许用户查看系统(需要查看工作区内部和外部的系统)。
- inventory:hosts:write - 允许用户重命名或删除系统。
- inventory:groups:read - 允许用户查看 Workspaces 以及常规信息(不包括系统)。
- inventory:groups:write - 允许用户编辑 Workspace 成员资格(添加和从工作区中删除系统)。
选择您需要的清单权限。下面是一些示例:
- 要授予用户对该工作区以及该工作区中的所有系统的完整访问权限,请选择所有的四个权限。
- 要授予用户对工作区内系统的完整访问权限,而不授予工作区编辑访问权限,请选择 inventory:hosts:read、inventory:hosts:write 和 inventory:groups:read,但不 选择 inventory:groups:write。
- 要授予用户对未分组的系统的完整访问权限,请选择所有四个权限(未分组的系统被视为工作区)。
- 点击 Next。显示 Define workspace access 页面。
- 单击列表中每个权限旁边的下拉箭头,然后选择您要应用到这些权限的工作区。您必须为每个权限选择至少一个工作区。
- 点击 Next。此时会显示 Review 详情页面。
- 检查自定义角色的权限,然后单击 Submit。
为每个需要特定工作区访问的工作空间或用户组重复此过程。
示例情境
这些示例描述了您为特定自定义角色中的用户分配的权限。
- 要允许用户仅在特定工作区中看到系统,但没有 看到 不属于任何工作区的系统,请只选择这些工作区。
- 要允许用户在特定工作区以及不属于任何工作区的系统中查看系统,请为所有权限选择这些工作区,并为 inventory:hosts 权限选择 Ungrouped systems。
- 要允许用户查看清单中的所有内容,您不需要创建自定义角色。
- 要为一组系统管理员授予工作区 A、B 和 C 相同的访问权限,请创建一个自定义角色并为这三个工作区分配权限。但是,如果要为不同的用户授予不同工作区的访问权限,请为每个工作区创建一个单独的自定义角色。
3.2.1.2. 分配自定义角色
要为用户或用户组分配自定义角色,请创建一个 User Access 组。组中的用户接收分配给该组的角色。
- 在屏幕右上角,单击 Settings 图标( Settings 图标(wagon)),然后单击 User Access。
- 在左侧导航菜单中,点 User Access > Groups。
- 点 Create group。Create group 向导显示 Name 和 description 页面。
- 添加组名称。如果需要,为组添加描述。
- 点击 Next。将显示 Add roles 页面。
- 选择您创建的自定义角色,然后单击 Next。将显示 Add members 页面。
- 选择您要为其分配自定义角色的用户。
- 点击 Next。此时会出现 Add service accounts 页面。
- 可选。如果要为所选用户分配服务帐户或帐户,请从列表中选择一个或多个服务帐户。
- 点击 Next。查看您选择的详情并点 Submit。
对您要分配给一个或多个用户的每个自定义角色重复此步骤。
3.2.1.3. 配置用户访问
创建并分配自定义角色后,您的机构中的所有用户仍对清单具有完全访问权限,因为它们仍然分配了 Inventory Hosts 管理员角色。这允许任何用户查看和编辑所有主机。Default Access 工作区默认将此角色分配给您机构中的所有用户。
要将机构用户访问仅限制为自定义角色中定义的工作区/系统,请编辑 Default Access 工作区以删除 Inventory Hosts 管理员角色。
- 在屏幕右上角,单击 Settings 图标( Settings 图标(wagon)),然后单击 User Access。
- 在左侧导航菜单中,点 User Access > Groups。显示 User access groups 列表。
- 单击 Default access 组。显示角色列表。
- 选中 清单主机管理员角色的复选框。
- 点击行最右侧的选项图标(swig)。此时会出现 Remove role 选项。
- 单击 Remove role。此时会出现 Remove role 对话框。
- 点 Remove role 按钮。如果您之前从未编辑了 Default Access 工作区,则会显示警告消息。
- 选择 I understand, 和 I want to continue 复选框,然后单击 Continue。
3.2.1.4. 配置清单主机管理员访问权限
编辑 Default Access 工作区后,您可能需要创建一个新的 User Access 组,该用户应具有 清单主机管理员权限。
- 在屏幕右上角,单击 Settings 图标( Settings 图标(wagon)),然后单击 User Access。
- 在左侧导航菜单中,点 User Access > Groups。显示工作区列表。
- 点 Create group。此时会出现 Create Group 向导。
- 为组添加一个名称。如果需要,添加描述。
- 点击 Next。将显示 Add roles 页面。
- 从角色列表中选择 Inventory Hosts 管理员角色。
- 点击 Next。将显示 Add members 页面。
- 选择您要为其分配角色的用户。
- 点击 Next。此时会出现 Add service accounts 页面。
- 可选。如果要为所选用户分配服务帐户或帐户,请从列表中选择一个或多个服务帐户。
- 点击 Next。此时会显示 Review 详情页面。
- 检查您选择的详情,然后点 Submit。
配置完访问权限后,您机构中的特定用户具有完整的清单访问权限,而其他用户则具有有限的清单访问权限。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}