2.8. 用户访问的粒度权限
细粒度权限允许机构管理员为一个或多个应用程序定义角色权限。许多预定义角色都提供通配符权限,这等同于超级用户角色,具有对所有操作的完整访问权限。
通过定义粒度权限,您可以创建(或修改)具有有限权限的角色,如只读或读取和更新,但不能删除。
例如,比较成本管理员和成本价格视图的预定义角色。
角色 | Application(应用程序) | 资源 | 操作 |
---|---|---|---|
Cost Administrator | cost-management | *(all) | *(all) |
成本价格列表查看器 | cost-management | cost_model | 读取 |
通过创建新角色,您可以定义特定于该角色的应用程序、资源和操作。
2.8.1. 添加自定义用户访问角色
用户访问提供了很多可以添加到组的预定义角色。除了使用预定义的角色外,您还可以创建和管理自定义用户访问角色,其具有一个或多个应用程序的粒度权限。
有关红帽提供的预定义角色列表,请参阅 预定义的用户访问角色 部分。
Default 访问 组包含所有预定义角色的子集。如需更多信息,请参阅 预定义的用户访问角色。
您无法修改预定义的角色。
先决条件
- 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console。
- 如果您不是机构管理员,则必须是分配了 User Access 管理员角色 的组的成员。
流程
使用指导向导可帮助您完成添加角色的步骤。
以下步骤描述了如何使用 Create role 向导。
- 进入到 Red Hat Hybrid Cloud Console > Settings > Identity & Access Management > User Access > Roles。此时会出现 Roles 窗口。
- 点 Create role 按钮。这将启动 Create role 向导。
此时,您可以从头开始创建角色或复制现有角色。
2.8.2. 从头开始创建角色
在您要创建具有特定粒度权限的角色时,从头开始创建角色。例如,您可以为您的机构创建一个单个角色,为所有可用应用程序提供所有资源的只读权限。通过在默认访问组中添加和管理此角色,您可以将默认访问权限更改为只读。
先决条件
- 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console。
- 如果您不是机构管理员,则必须是分配了 User Access 管理员角色 的组的成员。
- 您启动了 Create role 向导。
流程
- 在 Create role 向导中,点 Create a role from scratch 按钮。
- 输入 角色名称,这是必需的。
- (可选) 输入角色描述。
- 点 Next 按钮。如果角色名称已存在,则必须提供不同的名称,然后才能继续。
- 使用 Add permissions 窗口选择要包含在您的角色中的应用程序权限。默认情况下,应用程序列出权限。
(可选)使用过滤器下拉列表根据应用程序、资源或操作过滤。
提示使用向导页面顶部的列表来查看添加到角色的所有权限。您可以点权限删除它。
- 点 Next 按钮查看详情。您可以点击 Submit 按钮提交角色,返回返回 并进行更改,或者 Cancel 按钮取消该操作。
您创建的角色可用于添加到 User Access 组中。
2.8.3. 复制现有角色
当该角色已包含您要使用的许多权限并且需要更改、添加或删除某些权限时,复制现有角色。
现有角色可以是红帽提供的预定义角色之一,也可以是之前创建的自定义角色。
有关红帽提供的预定义角色列表,请参阅 预定义的用户访问角色 部分。
您无法修改预定义的角色。
先决条件
- 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console。
- 如果您不是机构管理员,则必须是分配了 User Access 管理员角色 的组的成员。
- 您启动了 Create role 向导。
流程
- 在 Create role 向导中,点 Copy an existing role 按钮。
- 点击您要复制的角色旁边的按钮。
- 点 Next 按钮。
- Name and description 窗口显示 Role name 的副本,并填写了现有角色描述。根据需要进行更改。
- 点 Next 按钮。如果角色名称已存在,则必须提供不同的名称,然后才能继续。
使用 Add permissions 窗口选择要包含在您的角色中的应用程序权限。默认情况下,应用程序列出权限。
提示自定义角色只支持粒度权限。通配符权限,如
approval:*:*
,不会复制到一个自定义角色中。(可选)使用过滤器下拉列表根据应用程序、资源或操作过滤。
提示使用向导页面顶部的列表来查看添加到角色的所有权限。您可以点权限删除它。
- 点 Next 按钮查看详情。您可以点击 Submit 按钮提交角色,返回返回 并进行更改,或者 Cancel 按钮取消该操作。
您创建的角色可用于添加到 User Access 组中。
2.8.4. 创建特定于应用程序的角色
使用 Create role 向导提供的过滤器为特定应用程序创建角色。当您为特定应用程序创建角色时,过滤器会为所选的应用程序显示允许的资源类型和操作。
您可以创建包含多个应用程序的应用程序特定角色。
先决条件
- 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console。
- 如果您不是机构管理员,则必须是分配了 User Access 管理员角色 的组的成员。
- 您启动了 Create role 向导。
- 您处于向导中的 Add permissions 步骤。
流程
- 在 Add permissions 窗口中,点 Filter by application 字段。
- 通过键入应用程序名称的前几个字母来选择应用程序。向导显示该应用程序的匹配权限。
- (可选)使用导航工具滚动可用应用程序和权限的列表。
- 点特定应用程序角色的权限旁边的复选框。
- 点 Next 按钮查看详情。您可以点击 Submit 按钮提交角色,返回返回 并进行更改,或者 Cancel 按钮取消该操作。
2.8.5. 创建成本管理应用程序角色
您可以创建一个特定于成本管理应用程序的角色。当您创建成本管理角色时,您可以为该角色定义成本管理资源定义。其他应用角色不提供该选择。
先决条件
- 安装和配置成本管理 Operator。
- 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console。
- 如果您不是机构管理员,则必须是分配了 User Access 管理员角色 的组的成员。
- 至少配置一个云集成用于成本管理。
- 您启动了 Create role 向导。
流程
这个步骤描述了如何从头开始创建具有成本管理权限的角色。
- 在 Create role 窗口中,单击 单选按钮 从头开始创建角色。
- 输入 Role name (必需)和 Role 描述 (可选)。
- 点 Next 按钮显示 Add permissions 窗口。
-
在 Filter by application 字段中输入
cost
以显示成本管理应用程序,然后点 cost-management 复选框。 - 出现 Add permissions 窗口时,单击此角色中包含的每个成本管理权限的复选框。
- 单击 Next 按钮,以显示 Define Cost Management resources 窗口。
- 您将看到您添加到角色的每个应用程序权限的可用资源 定义 的下拉列表。您必须点击每个成本管理权限中至少一个资源的复选框。
- 点 Next 按钮查看详情。您可以点击 Submit 按钮提交角色,返回返回 并进行更改,或者 Cancel 按钮取消该操作。
2.8.5.1. 从头开始创建角色的成本管理示例
先决条件
- 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console。
- 如果您不是机构管理员,则必须是分配了 User Access 管理员角色 的组的成员。
- 至少配置一个云集成用于成本管理。
- 您启动了 Create role 向导。
流程
- 启动 Create role 向导,再单击 从头开始创建角色。
-
为
角色名称输入 AWS 机构单元成本查看器
,然后点 Submit 按钮。不需要描述。 -
在 Filter by application 字段中输入
cost
以显示成本管理应用程序,然后点 cost-management 复选框。 -
点包含
aws.organizational_unit
的行上的复选框,然后点 Next 按钮为权限 显示可用资源定义 的下拉列表。 - 单击 资源定义 列表中列出的至少一个资源的复选框,然后单击 Next 按钮来查看详情。
- 在检查了此角色的详细信息(显示权限和资源定义)后,点 Submit 按钮以提交角色。
2.8.6. 编辑自定义角色名称
您可以从主角色页面或 Permissions 页面更改自定义角色的名称。
先决条件
- * 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console。
- 如果您不是机构管理员,则必须是分配了 User Access 管理员角色 的组的成员。
- 必须存在一个或多个自定义角色。
流程
- 进入到 Red Hat Hybrid Cloud Console > Settings > Identity & Access Management > User Access > Roles。此时会出现 Roles 窗口。在 Roles 窗口中,自定义角色的名称右侧具有 (更多选项)。
- 点 (更多选项)。
- 点 Edit 以更改角色名称或描述。
点 Delete 以删除自定义角色。
提示您还可以点角色名称打开 Permissions 窗口,然后点角色名称右侧的 (更多选项)访问 Edit 和 Delete 操作。
- 此时会出现确认窗口。确认此操作无法撤消后,自定义角色将被删除。
2.8.7. 从自定义角色中删除权限
您可以从自定义角色中删除权限。
先决条件
- 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console。
- 如果您不是机构管理员,则必须是分配了 User Access 管理员角色 的组的成员。
- 必须存在一个或多个自定义角色。
流程
- 进入到 Red Hat Hybrid Cloud Console > Settings > Identity & Access Management > User Access > Roles。此时会出现 Roles 窗口。在 Roles 窗口中,自定义角色的名称右侧具有 (更多选项)。
- 点自定义角色名称打开 Permissions 窗口。
- 在 Permissions 列表中,点应用程序权限名称右侧的 (更多选项)并点 Remove。
- 此时会出现确认窗口。单击 Remove permissions。
2.8.8. 恢复 Default 访问组
您可以将 Default 访问 组恢复到红帽提供的状态。当这样做时,自定义默认访问组 将删除,以及对该组所做的任何更改。
当恢复 Default access 组时,无法恢复 Custom default access 组。
恢复 Default 访问 组的原因:
- 您更改了没有预期的 Default 访问 组。
- 您需要使用 Default access 组 开始。
- 您要删除 Custom default access 组。
- 您需要获取红帽服务推送的 Default 访问 组的更改,并取消 Custom 默认访问组。
一个默认组( Default access 组或 Custom default access 组)始终存在于系统中。
先决条件
- 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console。
- 如果您不是机构管理员,则必须是分配了 User Access 管理员角色 的组的成员。
- Custom default access 组必须存在。
流程
- 进入 Red Hat Hybrid Cloud Console > Settings > Identity & Access Management > User Access > Groups。此时会显示 Groups 页面。
- 在 Groups 页面上点 Custom default access。
-
点 Restore to default,接受小心消息。
Default access 会出现在 Groups 页面中。