Automation AssemblerAutomation Service BrokerAutomation Pipelines 服务定义的组织和服务用户角色确定了用户在每个服务中可查看的内容和执行的操作。

组织用户角色

由组织所有者在 VMware Aria Automation 控制台中为组织定义用户角色。有两种类型的角色:组织角色和服务角色。

组织角色是全局的,适用于组织中的所有服务。组织级别的角色是组织所有者或组织成员角色。

有关组织角色的详细信息,请参见《管理 VMware Aria Automation》

Automation Assembler 服务角色(是特定于服务的权限)也在控制台的组织级别分配。

服务角色

这些服务角色由组织所有者分配。

本文包含有关以下服务的信息。

Assembler 服务角色

Automation Assembler 服务角色决定您在 Automation Assembler 中可以查看的内容和可以执行的操作。这些服务角色由组织所有者在控制台中定义。

表 1. Automation Assembler 服务角色说明
角色 说明
Assembler 管理员 对整个用户界面和 API 资源具有读取和写入访问权限的用户。这是唯一可以查看和执行所有操作的用户角色,包括添加云帐户、创建新项目以及分配项目管理员。
Assembler 用户 不具有 Assembler 管理员角色的用户。

Automation Assembler 项目中,管理员将用户作为项目成员、管理员或查看者添加到项目中。管理员还可以添加项目管理员。

Assembler 查看者 具有读取访问权限的用户,可以查看信息,但不能创建、更新或删除值。这是所有服务中所有项目的只读角色。

具有查看者角色的用户可以查看管理员可使用的所有信息。除非您将他们设置为项目管理员或项目成员,否则他们无法执行任何操作。如果用户与项目关联,则他们具有与该角色相关的权限。项目查看者不会像管理员或成员角色那样扩展其权限。

除了服务角色外,Automation Assembler 还具有项目角色。在所有服务中都可以使用任何项目。

项目角色是在 Automation Assembler 中定义的,可能会因项目而异。

下表介绍了不同的服务和项目角色可以查看的内容和执行的操作,请记住,服务管理员对用户界面的所有区域具有完全权限。

项目角色说明可帮助您决定为用户提供哪些权限。

  • 项目管理员利用服务管理员创建的基础架构来确保项目成员具有进行开发工作所需的资源。
  • 项目成员在其项目中工作,以设计和部署云模板。您的项目只能包含您拥有的资源或与其他项目成员共享的资源。
  • 项目查看者仅具有只读访问权限,但在某些情况下,他们可以执行诸如下载云模板之类的非破坏性操作。
  • 项目主管是 Automation Service Broker 中批准策略定义了项目主管审批者的项目的审批者。要向主管提供批准上下文,还应考虑授予他们项目成员或查看者角色。
表 2. Automation Assembler 服务角色和项目角色
UI 上下文 任务 Assembler 管理员 Assembler 查看者 Assembler 用户

用户必须是项目管理员或成员才能查看和执行项目相关任务。

项目管理员 项目成员 项目查看者 项目主管
访问 Assembler
控制台 在 Automation 控制台中,您可以查看并打开 Assembler
基础架构
查看并打开“基础架构”选项卡
管理 - 项目 创建项目
更新或删除项目摘要、置备、Kubernetes、集成和测试项目配置中的值。
在项目中添加用户和组并分配角色。 是。您的项目。
查看项目 是。您的项目 是。您的项目 是。您的项目 是。您的项目
管理 - 用户和组 查看分配给自定义角色的用户和组。
管理 - 自定义角色 创建自定义用户角色并将其分配给用户和组。
管理 - 自定义名称 创建自定义资源名称。
管理 - 密钥 创建和删除密钥可重用属性。
管理 - 设置 打开或关闭内部设置。
配置 - 云区域 创建、更新或删除云区域
查看云区域
查看云区域“洞察”仪表板
查看云区域警示
配置 - Kubernetes 区域 创建、更新或删除 Kubernetes 区域
查看 Kubernetes 区域
配置 - 特定实例 创建、更新或删除特定实例
查看特定实例
配置 - 映像映射 创建、更新或删除映像映射
查看映像映射
配置 - 网络配置文件 创建、更新或删除网络配置文件
查看映像网络配置文件
配置 - 存储配置文件 创建、更新或删除存储配置文件
查看映像存储配置文件
配置 - 定价卡 创建、更新或删除定价卡
查看定价卡
配置 - 标记 创建、更新或删除标记
查看标记
资源 - 计算 将标记添加到已发现的计算资源
查看发现的计算资源
资源 - 网络 修改网络标记、IP 范围、IP 地址
查看发现的网络资源
资源 - 安全 将标记添加到已发现的安全组
查看已发现的安全组
资源 - 存储 向发现的存储中添加标记
查看存储
资源 - Kubernetes 部署或添加 Kubernetes 集群,以及创建或添加命名空间
查看 Kubernetes 集群和命名空间 是。您的项目 是。您的项目 是。您的项目
活动 - 请求 删除部署请求记录
查看部署请求记录 是。您的项目 是。您的项目 是。您的项目
活动 - 事件日志 查看事件日志 是。您的项目 是。您的项目 是。您的项目
连接 - 云帐户 创建、更新或删除云帐户
查看云帐户
连接 - 集成 创建、更新或删除集成
查看集成
载入 创建、更新或删除载入计划
查看载入计划 是。您的项目
可扩展性
查看并打开“可扩展性”选项卡
事件 查看可扩展性事件
订阅 创建、更新或删除可扩展性订阅
停用订阅
查看订阅
库 - 事件主题 查看事件主题
库 - 操作 创建、更新或删除可扩展性操作
查看可扩展性操作
库 - 工作流 查看可扩展性工作流
活动 - 操作运行 取消或删除可扩展性操作运行
查看可扩展性操作运行 是。您的项目
活动 - 工作流运行 查看可扩展性工作流运行
设计
设计 打开“设计”选项卡 是。 是。 是。
云模板 创建、更新和删除云模板 是。您的项目 是。您的项目
查看云模板 是。您的项目 是。您的项目 是。您的项目
下载云模板 是。您的项目 是。您的项目 是。您的项目
上载云模板 是。您的项目 是。您的项目
部署云模板 是。您的项目 是。您的项目
版本控制和还原云模板 是。您的项目 是。您的项目
将云模板发布到目录 是。您的项目 是。您的项目
自定义资源 创建、更新或删除自定义资源
查看自定义资源 是。您的项目 是。您的项目 是。您的项目
自定义操作 创建、更新或删除自定义操作
查看自定义操作 是。您的项目 是。您的项目 是。您的项目
资源
查看并打开“资源”选项卡
部署

查看部署,包括部署详细信息、部署历史记录、价格、监控、警示、优化和故障排除信息

是。您的项目 是。您的项目 是。您的项目
管理警示 是。您的项目 是。您的项目
基于策略对部署运行实施后操作 是。您的项目 是。您的项目
资源 - 所有资源 查看所有发现的资源
对已发现的资源运行实施后操作。

操作仅适用于计算机,仅限于打开和关闭所有计算机的电源,以及 vSphere 计算机的远程控制台。

资源 - 所有资源 查看已部署、已载入、已迁移的资源 是。您的项目。 是。您的项目。 是。您的项目。
根据策略对已部署、已载入和已迁移的资源运行实施后操作 是。您的项目。 是。您的项目。
资源 - 虚拟机 查看发现的计算机
对已发现的计算机运行实施后操作。

操作仅限于打开和关闭电源以及 vSphere 计算机的远程控制台。

创建新的虚拟机

管理员可以使用此选项。但是,如果管理员启用设置,则其他用户角色也可以使用该选项。要激活该选项,请选择基础架构 > 管理 > 设置并启用创建新资源

激活此选项后,Automation Service Broker 非管理员用户也可以基于任何映像和任何特定实例创建虚拟机。为了避免过度消耗资源,管理员可以创建审批策略,以根据使用的映像或请求的特定实例或大小拒绝或批准任何部署请求。

是。您的项目。 是。您的项目。 是。您的项目。
查看已部署、已载入和已迁移的资源。 是。您的项目。 是。您的项目。 是。您的项目。
根据策略对已部署、已载入和已迁移的资源运行实施后操作 是。您的项目。 是。您的项目。
资源 - 卷 查看已发现的卷
没有可用的实施后操作
查看已部署、已载入和已迁移的卷 是。您的项目。 是。您的项目。 是。您的项目。
根据策略对已部署、已载入和已迁移的卷运行实施后操作 是。您的项目。 是。您的项目。
资源 - 网络和安全 查看发现的网络、负载均衡器和安全组
没有可用的实施后操作
查看已部署、已载入和已迁移的网络、负载均衡器和安全组 是。您的项目。 是。您的项目。 是。您的项目。
根据策略对已部署、已载入和已迁移的网络、负载均衡器和安全组运行实施后操作 是。您的项目。 是。您的项目。
警示
查看并打开“警示”选项卡
管理警示 是。您的项目 是。您的项目
查看警示 是。您的项目 是。您的项目 是。您的项目

Service Broker 服务角色

Automation Service Broker 服务角色决定您在 Automation Service Broker 中可以查看的内容和可以执行的操作。这些服务角色由组织所有者在控制台中定义。

表 3. Service Broker 服务角色说明
角色 说明
Service Broker 管理员 必须对整个用户界面和 API 资源具有读取和写入访问权限。这是唯一可以执行所有任务(包括创建新项目和分配项目管理员)的用户角色。
Service Broker 用户 不具有 Automation Service Broker 管理员角色的任何用户。

Automation Service Broker 项目中,管理员将用户作为项目成员、管理员或查看者添加到项目中。管理员还可以添加项目管理员。

Service Broker 查看者 具有读取访问权限的用户,可以查看信息,但不能创建、更新或删除值。这是所有服务中所有项目的只读角色。

具有查看者角色的用户可以查看管理员可使用的所有信息。除非您将他们设置为项目管理员或项目成员,否则他们无法执行任何操作。如果用户与项目关联,则他们具有与该角色相关的权限。项目查看者不会像管理员或成员角色那样扩展其权限。

除了服务角色外,Automation Service Broker 还具有项目角色。在所有服务中都可以使用任何项目。

项目角色是在 Automation Service Broker 中定义的,可能会因项目而异。

下表介绍了不同的服务和项目角色可以查看的内容和执行的操作,请记住,服务管理员对用户界面的所有区域具有完全权限。

在您决定为用户提供哪些权限时,可以使用以下项目角色描述为您提供帮助。

  • 项目管理员利用服务管理员创建的基础架构来确保项目成员具有进行开发工作所需的资源。
  • 项目成员在其项目中工作,以设计和部署云模板。在下表中,您的项目只能包含您拥有的资源或与其他项目成员共享的资源。
  • 项目查看者仅限于只读访问权限。
  • 项目主管是 Automation Service Broker 中批准策略定义了项目主管审批者的项目的审批者。要向主管提供批准上下文,还应考虑授予他们项目成员或查看者角色。
表 4. Service Broker 服务角色和项目角色
UI 上下文 任务 Service Broker 管理员 Service Broker 查看者 Service Broker 用户

用户必须是项目管理员才能查看和执行项目相关任务。

项目管理员 项目成员 项目查看者 项目主管
访问 Service Broker
控制台 在控制台中,您可以查看和打开 Service Broker
基础架构
查看并打开“基础架构”选项卡
管理 - 项目 创建项目
更新或删除项目摘要、置备、Kubernetes、集成和测试项目配置中的值。
在项目中添加用户和组并分配角色。 是。您的项目。
查看项目 是。您的项目 是。您的项目 是。您的项目
管理 - 自定义角色 创建自定义用户角色并将其分配给用户和组。
管理 - 自定义名称 创建自定义资源名称。
管理 - 密钥 创建和删除密钥可重用属性。
管理 - 设置 打开或关闭内部设置。
管理 - 用户和组 查看分配给自定义角色的用户和组。
配置 - 云区域 创建、更新或删除云区域
查看云区域
配置 - Kubernetes 区域 创建、更新或删除 Kubernetes 区域
查看 Kubernetes 区域
连接 - 云帐户 创建、更新或删除云帐户
查看云帐户
连接 - 集成 创建、更新或删除集成
查看集成
活动 - 请求 删除部署请求记录
查看部署请求记录
活动 - 事件日志 查看事件日志
内容和策略
查看并打开“内容和策略”选项卡
内容源 创建、更新或删除内容源
查看内容源
内容 自定义表单和配置项目
查看内容
策略 - 定义 创建、更新或删除策略定义
查看策略定义
策略 - 实施 查看实施日志
通知 - 电子邮件服务器 配置电子邮件服务器
使用
查看并打开“使用”选项卡
项目 查看和搜索项目 是。您的项目 是。您的项目 是。您的项目 是。您的项目 是。您的项目
目录 查看并打开“目录”页面
查看可用目录项 是。您的项目 是。您的项目 是。您的项目
请求目录项 是。您的项目 是。您的项目
部署 - 部署

查看部署,包括部署详细信息、部署历史记录、价格、监控、警示、优化和故障排除信息

是。您的项目 是。您的项目 是。您的项目
管理警示 是。您的项目 是。您的项目
基于策略对部署运行实施后操作 是。您的项目 是。您的项目
部署 - 资源 查看所有发现的资源
对已发现的资源运行实施后操作。

操作仅适用于计算机,仅限于打开和关闭所有计算机的电源,以及 vSphere 计算机的远程控制台。

部署 - 所有资源 查看已部署、已载入、已迁移的资源 是。您的项目。 是。您的项目。 是。您的项目。
根据策略对已部署、已载入和已迁移的资源运行实施后操作 是。您的项目。 是。您的项目。
部署 - 虚拟机 查看发现的计算机
对已发现的计算机运行实施后操作。

操作仅限于打开和关闭电源以及 vSphere 计算机的远程控制台。

创建新的虚拟机

如果您的管理员激活了此选项,则可以在 Automation Service Broker 中使用该选项。要激活该选项,请选择基础架构 > 管理 > 设置

激活此选项后,Automation Service Broker 非管理员用户也可以基于任何映像和任何特定实例创建虚拟机。为了避免过度消耗资源,管理员可以创建审批策略,以根据使用的映像或请求的特定实例或大小拒绝或批准任何部署请求。

是。您的项目。 是。您的项目。 是。您的项目。
查看已部署、已载入和已迁移的资源。 是。您的项目。 是。您的项目。 是。您的项目。
根据策略对已部署、已载入和已迁移的资源运行实施后操作 是。您的项目。 是。您的项目。
部署 - 卷 查看已发现的卷
没有可用的实施后操作
查看已部署、已载入和已迁移的卷 是。您的项目。 是。您的项目。 是。您的项目。
根据策略对已部署、已载入和已迁移的卷运行实施后操作 是。您的项目。 是。您的项目。
部署 - 网络和安全 查看发现的网络、负载均衡器和安全组
没有可用的实施后操作
查看已部署、已载入和已迁移的网络、负载均衡器和安全组 是。您的项目。 是。您的项目。 是。您的项目。
根据策略对已部署、已载入和已迁移的网络、负载均衡器和安全组运行实施后操作 是。您的项目。 是。您的项目。
收件箱
查看并打开“收件箱”选项卡
批准 查看批准请求
响应批准请求 是。您的项目和策略审批者是项目管理员 仅当您是指定审批者时 仅当您是指定审批者时 是。您的项目和策略审批者是项目主管
用户输入请求 查看用户输入请求
响应用户输入请求 是。您的项目。您被指派提供输入 仅当您被指派提供输入时

Pipelines 服务角色

Automation Pipelines 服务角色决定您在 Automation Pipelines 中可以查看的内容和可以执行的操作。这些角色由组织所有者在控制台中定义。在所有服务中都可以使用任何项目。

表 5. 管道服务角色说明
角色 说明
Pipelines 管理员 对整个用户界面和 API 资源具有读取和写入访问权限的用户。只有此用户角色才能查看所有内容以及执行所有操作,包括创建项目,集成端点,添加触发器,创建管道和自定义仪表板,将端点和变量标记为受限制资源,运行使用受限制资源的管道,以及请求在 Automation Service Broker 中发布管道。
Pipelines 开发人员 可以使用管道但无法使用受限制端点或变量的用户。如果管道包含受限制端点或变量,则此用户必须获得批准才能执行使用受限制端点或变量的管道任务。
Pipelines 执行者 可以运行管道并批准或拒绝用户操作任务的用户。此用户可以恢复、暂停和取消管道执行,但不能修改管道。
Pipelines 用户 可以访问 Automation Pipelines,但在 Automation Pipelines 中不具有任何其他特权的用户。
Pipelines 查看者 具有读取访问权限的用户,可以查看管道、端点、管道执行和仪表板,但不能进行创建、更新或删除。此外,具有“服务查看者”角色的用户也可以查看管理员可使用的所有信息。除非您将他们设置为项目管理员或项目成员,否则他们无法执行任何操作。如果用户与项目关联,则他们具有与该角色相关的权限。项目查看者不会像管理员或成员角色那样扩展其权限。

除了服务角色外,Automation Pipelines 还具有项目角色。在所有服务中都可以使用任何项目。

项目角色是在 Automation Pipelines 中定义的,可能会因项目而异。

下表介绍了不同的服务和项目角色可以查看的内容和执行的操作,请记住,服务管理员对用户界面的所有区域具有完全权限。

使用以下项目角色描述可帮助您决定为用户提供哪些权限。

  • 项目管理员利用服务管理员创建的基础架构来确保项目成员具有进行开发工作所需的资源。项目管理员可以添加成员。
  • 具有服务角色的项目成员可以使用服务。
  • 项目查看者可以查看项目,但不能创建、更新或删除项目。

除受限制以外的所有操作表示此角色有权对实体执行创建、读取、更新和删除操作,但受限制的变量和端点除外。

表 6. Automation Pipelines 服务角色功能
UI 上下文 功能 Automation Pipelines 管理员角色 Automation Pipelines 开发人员角色 Automation Pipelines 执行者角色 Automation Pipelines 查看者角色 Automation Pipelines 用户角色
管道
查看管道
创建管道
运行管道
运行包含受限制端点或受限制变量的管道
更新管道
删除管道
管道执行
查看管道执行
恢复、暂停和取消管道执行
恢复等待批准受限制资源的管道
自定义集成
创建自定义集成
读取自定义集成
更新自定义集成
端点
查看执行
创建执行
更新执行
删除执行
将资源标记为受限制
将端点或变量标记为受限制
仪表板
查看仪表板
创建仪表板
更新仪表板
删除仪表板

Assembler Migration Assistant 服务角色

Migration Assistant 服务角色决定您在 Migration Assistant 和 Assembler 中可以查看的内容和可以执行的操作。这些服务角色由组织所有者在控制台中定义。

表 7. Assembler Migration Assistant 服务角色说明
角色 说明
Migration Assistant 管理员 Migration Assistant 和 Assembler 中具有完全查看、更新和删除特权的用户。

此角色还必须至少 Assembler 查看者角色。

Migration Assistant 查看者 具有读取访问权限的用户,可以在 Migration Assistant 或 Assembler 中查看信息,但不能创建、更新或删除值。

此角色还必须至少 Assembler 查看者角色。

Orchestrator 服务角色

Automation Orchestrator 服务角色决定您在 VMware Aria Automation Orchestrator 中可以查看的内容和可以执行的操作。这些服务角色由组织所有者在控制台中定义。

表 8. Automation Orchestrator 服务角色说明
角色 说明
Orchestrator 管理员 Automation Orchestrator 中拥有完全查看、更新和删除特权的用户。管理员还可以访问由特定组创建的内容。
Orchestrator 查看者 具有读取访问权限的用户,可以查看功能和内容(包括所有组和组内容),但不能创建、更新、运行、删除值或导出内容。这是所有服务中所有项目的只读角色。
Orchestrator 工作流设计人员 可以创建、运行、编辑和删除自己的 Automation Orchestrator 客户端内容的用户。可以将自己的内容添加到为其分配的组。工作流设计人员无法访问 Automation Orchestrator 客户端的管理功能和故障排除功能。

未分配 Orchestrator 服务角色的 Automation 用户仍然可以访问 Automation Orchestrator 客户端,但权限有限。他们可以查看和运行自己的内容,并响应分配给他们的用户交互请求。

Automation Config 服务角色

Automation Config 服务角色决定在 Automation 中可以查看的内容和可以执行的操作。该服务角色由组织所有者在控制台中定义。

表 9. Automation Config 服务角色说明
角色 说明
Config 管理员 配置与 Assembler 的集成后,可以在控制台上访问 Automation Config 图标的用户。要登录 Automation Config 实例,用户必须具有 Automation Config 配置中定义的 Automation Config 管理员权限。

该用户还必须具有 Assembler 管理员角色。

Config 用户

不具有 Config 管理员角色的用户。

Salt 主节点
Config 超级用户