Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

3.2. 用户访问工作区

通过工作区,您可以将清单中的系统分组到逻辑单元中,如位置、部门或目的。每个系统都只能属于一个工作区。

工作区也支持基于角色的访问控制(RBAC)。根据用户角色,使用 RBAC 在工作区上设置自定义权限。

Workspace administrator User Access 角色允许您创建工作区。此角色自动包含在 Default Access 组中,且无法从其中删除。但是,具有此角色的用户可以修改任何工作区。仅为 有权访问整个系统清单的用户提供此角色。

要让用户可以使用工作区和 RBAC 限制对特定系统的访问,该用户必须具有 Default 管理员访问权限,或者具有 Workspace 管理员User Access Administrator 角色。

工作区用户具有 组级 RBAC 权限。自定义权限包括:

  • inventory:groups:read

    • 查看工作区详情页面

  • inventory:groups:write

    • 重命名工作区
    • 将系统添加到工作区
    • 从工作区中删除系统
注意

用户在没有 inventory:hosts:read 权限的情况下无法查看工作区中的系统。

系统用户具有 系统级别的 RBAC 权限。它们可以执行以下工作区操作:

  • inventory:hosts:read

    • 查看工作区中的所有系统及其详情,或者查看未分组的系统
    • 查看有关其他红帽 Lightspeed 服务的系统的信息

  • inventory:hosts:write

    • 重命名系统
    • 删除系统

3.2.1. 管理用户对 Workspaces 的访问
复制链接

注意

如果您无法访问 Workspaces,进入 Inventory > Workspaces 会显示 所需的消息 Workspace 访问权限

请注意,您仍然可以查看分配给您具有读取访问权限的系统的工作区名称,即使您无法访问工作区本身。要查看包含系统的工作区,您需要具有 Workspaces Viewer 角色,或者分配 Workspace view 权限。

重要

在 RBAC 配置中进行更改之前,请查看 User Scenarios 部分中的已知限制列表。

有关管理用户访问权限、分配角色和添加到用户访问组的更多信息,请参阅 基于角色的访问控制(RBAC)的用户访问配置指南

3.2.1.1. 创建自定义用户访问角色
复制链接

使用 User Access 应用程序为您的工作区配置用户访问权限。

创建自定义角色:

  1. 单击右上角的 Settings 图标(swig),然后选择 User Access 以导航到 User Access 应用程序。显示 Identity & Access Management 主页面。
  2. 在左侧导航菜单中,单击 Roles
  3. 单击 Create role。显示 Create Role 向导。

  4. 选择是否要创建新角色,还是复制现有角色。

    1. 要创建新角色,请从 头选择创建角色
    2. 要复制现有角色,请选择 Copy an existing role。此时会显示一个角色列表。选择您要复制的角色,然后点 Next
  5. 将新角色命名为。如果需要,添加描述。
  6. NextAdd permissions 页面会显示。

  7. Applications 过滤器默认显示。单击 Filter by application 下拉菜单,再选择 inventory 以显示所有可用的清单权限。

    四个清单权限包括:

    • inventory:hosts:read - 允许用户查看系统(需要查看工作区内部和外部的系统)。
    • inventory:hosts:write - 允许用户重命名或删除系统。
    • inventory:groups:read - 允许用户查看 Workspaces 以及常规信息(不包括系统)。
    • inventory:groups:write - 允许用户编辑 Workspace 成员资格(添加和从工作区中删除系统)。

  8. 选择您需要的清单权限。下面是一些示例:

    1. 要授予用户对该工作区以及该工作区中的所有系统的完整访问权限,请选择所有的四个权限。
    2. 要授予用户对工作区内系统的完整访问权限,而不授予工作区编辑访问权限,请选择 inventory:hosts:read、inventory:hosts:write 和 inventory:groups:read,但不 选择 inventory:groups:write。
    3. 要授予用户对未分组的系统的完整访问权限,请选择所有四个权限(未分组的系统被视为工作区)。
  9. Next。显示 Define workspace access 页面。
  10. 单击列表中每个权限旁边的下拉箭头,然后选择您要应用到这些权限的工作区。您必须为每个权限选择至少一个工作区。
  11. Next。此时会显示 Review 详情页面
  12. 检查自定义角色的权限,然后单击 Submit

为每个需要特定工作区访问的工作空间或用户组重复此过程。

示例情境

这些示例描述了您为特定自定义角色中的用户分配的权限。

  • 要允许用户仅在特定工作区中看到系统,但没有 看到 不属于任何工作区的系统,请只选择这些工作区。
  • 要允许用户在特定工作区以及不属于任何工作区的系统中查看系统,请为所有权限选择这些工作区,并为 inventory:hosts 权限选择 Ungrouped systems
  • 要允许用户查看清单中的所有内容,您不需要创建自定义角色。
  • 要为一组系统管理员授予工作区 A、B 和 C 相同的访问权限,请创建一个自定义角色并为这三个工作区分配权限。但是,如果要为不同的用户授予不同工作区的访问权限,请为每个工作区创建一个单独的自定义角色。

3.2.1.2. 配置用户访问
复制链接

创建并分配自定义角色后,您的机构中的所有用户仍对清单具有完全访问权限,因为它们仍然分配了 Inventory Hosts 管理员角色。这允许任何用户查看和编辑所有主机。Default Access 工作区默认将此角色分配给您机构中的所有用户。

要将机构用户访问仅限制为自定义角色中定义的工作区/系统,请编辑 Default Access 工作区以删除 Inventory Hosts 管理员角色

  1. 在屏幕右上角,单击 Settings 图标( Settings 图标(wagon)),然后单击 User Access
  2. 在左侧导航菜单中,点 User Access > Groups。显示 User access groups 列表。
  3. 单击 Default access 组。显示角色列表。
  4. 选中 清单主机管理员角色的复选框
  5. 点击行最右侧的选项图标(swig)。此时会出现 Remove role 选项。
  6. 单击 Remove role。此时会出现 Remove role 对话框。
  7. Remove role 按钮。如果您之前从未编辑了 Default Access 工作区,则会显示警告消息。
  8. 选择 I understand, 和 I want to continue 复选框,然后单击 Continue

配置完访问权限后,您机构中的特定用户具有完整的清单访问权限,而其他用户则具有有限的清单访问权限。

Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部