本节介绍了扩展的基于角色的精细访问控制 (RBAC) 功能。

• 一个对象的多个值（值 1、值 2、值 3...）映射到一个键。

  示例：

  用户 1 需要将 pre-prod 应用程序传输到 prod，用户 2 有权访问 prod。

  该对象具有 "app":["pre-prod"] 标签。

  用户 1 有权访问 "app":"pre-prod"。

  用户 1 需要将该对象传输到 "prod"。

  在此例中，需要为该对象配置 "键":"标签列表"，以传输应用程序。

  任何在角色中配置了带有标签的对象访问权限的用户，都可以使用其无权访问的其他标签。

  此处，必须为该对象应用另一个标签。

  "app": ["pre-prod", "prod"]。传输后，新应用程序所有者（用户 2）可以从该对象中移除 "app": "pre-prod"，以停止用户 1 的访问权限。

• 除了配置有角色筛选器的标签对象之外，还可以使用 allow_unlabelled_ access 标记为用户启用对不带标签的对象的读取访问权限。

  示例：

  角色中带有标签的用户需要访问某些没有标签的标准配置文件。

• 引入了一个新对象 LabelGroup，用于跟踪允许 or suggested for a given tenant. For each tenant, there can be associated label groups. At the tenant level, the labels can either be enforced or deprecated.