Os provedores de serviços podem usar a API do VMware Cloud Director para criar extensões que fornecem recursos adicionais do VMware Cloud Director para os tenants. Se um provedor de serviços concedeu a você acesso, você poderá gerenciar entidades definidas e compartilhá-las com outros tenants.
Os provedores de serviços podem criar tipos de entidades definidas de tempo de execução, permitindo que as extensões armazenem e manipulem as informações específicas da extensão no VMware Cloud Director. Por exemplo, uma extensão do Kubernetes pode armazenar informações sobre os clusters do Kubernetes que ela gerencia em entidades definidas em tempo de execução. A extensão pode fornecer APIs de extensão para gerenciar esses clusters usando as informações das entidades definidas em tempo de execução. Se o provedor de serviços compartilhar com você o pacote de direitos para o tipo de entidade definida de tempo de execução, você poderá criar instâncias do tipo.
Quando você cria uma entidade definida em uma organização de tenant, não pode compartilhar a entidade definida com tenants em outra organização. Você não pode alterar o proprietário de uma entidade definida para um usuário em outra organização.
Acesso às entidades definidas
Dois mecanismos complementares controlam o acesso a entidades definidas em tempo de execução.
-
Direitos: quando um provedor de serviços cria um tipo de entidade definida de tempo de execução, ele cria um pacote de direitos para o tipo. Um provedor de serviços deve atribuir um ou mais dos cinco direitos específicos de tipo: Exibir: TYPE, Editar: TYPE, Controle Total: TYPE, Exibição do Administrador: TYPE e Controle Total do Administrador: TYPE.
Os direitos Exibir: TYPE, Editar: TYPE e Controle Total: TYPE funcionam apenas em combinação com uma entrada ACL.
- Lista de controle de acesso (ACL) - A tabela da ACL contém entradas que definem os usuários de acesso com entidades específicas no sistema. Ela fornece um nível extra de controle sobre as entidades. Por exemplo, enquanto um direito Editar: TYPE especifica que um usuário pode modificar entidades às quais eles têm acesso, a tabela de ACL define quais entidades o usuário tem acesso.
Operação da entidade | Opção | Descrição | |
---|---|---|---|
Leitura | Direito Exibição do Administrador: TYPE | Os usuários com esse direito podem ver todas as entidades definidas em tempo de execução desse tipo em uma organização. | |
Direito Exibir: TYPE e entrada da ACL >= Exibir | Os usuários com esse direito e uma ACL de nível de leitura podem exibir entidades definidas de tempo de execução desse tipo. | ||
Modificar | Direito Controle Total do Administrador: TYPE | Os usuários com esse direito podem criar, visualizar, modificar e excluir entidades definidas em tempo de execução desse tipo em todas as organizações. | |
Direito Editar: TYPE e entrada da ACL >= Alterar | Os usuários com esse direito e a ACL de nível de modificação podem criar, exibir e modificar entidades definidas de tempo de execução desse tipo. | ||
Excluir | Direito Controle Total do Administrador: TYPE | Os usuários com esse direito podem criar, visualizar, modificar e excluir entidades definidas em tempo de execução desse tipo em todas as organizações. | |
Direito Controle Total: TYPE e entrada da ACL = Controle Total | Os usuários com esse direito e a ACL de nível de controle total podem criar, exibir, modificar e excluir entidades definidas de tempo de execução desse tipo. |
Compartilhando as entidades definidas com outro usuário
Se um administrador do sistema publicou o pacote de direitos para um tipo de entidade definida e tiver concedido a você acesso ReadWrite
ou FullControl
, ou se você for o proprietário da entidade definida, poderá compartilhar o acesso a essas entidades com outros usuários.
-
Atribua o direito Exibir: TYPE, Editar: TYPE ou Controle Total: TYPE do pacote para as funções de usuário que você deseja ter o nível específico de acesso à entidade definida.
Observação: Você deve estar conectado como administrador do sistema ou administrador da organização para atribuir direitos.Por exemplo, se você quiser que os usuários com a função tkg_viewer exibam clusters do Tanzu Kubernetes na organização, deverá adicionar o direito Exibir: Tanzu Kubernetes Guest Cluster à função. Se você quiser que os usuários com a função tkg_author criem, exibam e modifiquem os clusters do Tanzu Kubernetes nesta organização, adicione o direito Editar: Tanzu Kubernetes Guest Cluster a essa função. Se você quiser que os usuários com a função tkg_admin criem, exibam, modifiquem e excluam os clusters do Tanzu Kubernetes nesta organização, adicione o direito Controle Total: Tanzu Kubernetes Guest Cluster à função.
-
Conceda ao usuário específico uma Lista de controle de acesso (ACL) fazendo a seguinte chamada de REST API.
POST https://[address]/cloudapi/1.0.0/entities/urn:vcloud:entity:[vendor]:[type name]:[version]:[UUID]/accessControls { "grantType" : "MembershipAccessControlGrant", "accessLevelId" : "urn:vcloud:accessLevel:[Access_level]", "memberId" : "urn:vcloud:user:[User_ID]" }
Access_level deve ser
ReadOnly
,ReadWrite
ouFullControl
. User_ID deve ser o ID do usuário ao qual você deseja conceder o acesso à entidade definida.Você deve ter acesso
ReadWrite
ouFullControl
a uma entidade para conceder acesso ACL a essa entidade.Os usuários com a função de tkg_viewer, descritas no exemplo, não podem conceder acesso ACL. Os usuários com a função tkg_author ou tkg_admin podem compartilhar o acesso a uma entidade VMWARE:TKGCLUSTER com usuários que têm a função tkg_viewer, tkg_author ou tkg_admin concedendo a eles acesso ACL usando a solicitação de API.
Os usuários com o direito Controle Total do Administrador: Tanzu Kubernetes Guest Cluster podem conceder acesso à ACL para qualquer entidade VMWARE:TKGCLUSTER.
Você também pode usar chamadas REST API para revogar o acesso ou para exibir quem tem acesso à entidade. Consulte a documentação da REST API do VMware Cloud Director em https://developer.vmware.com/.
Alterando o proprietário de uma entidade definida
O proprietário de uma entidade definida ou um usuário com o direito Controle Total do Administrador: TYPE pode transferir a propriedade para outro usuário atualizando o modelo de entidade definido e alterando o campo de proprietário com o ID do novo proprietário.