本节介绍了扩展的基于角色的精细访问控制 (RBAC) 功能。
注:
术语“标签”和“标记”在本节中互换使用。
一个对象的多个值(值 1、值 2、值 3...)映射到一个键。
示例:
用户 1 需要将 pre-prod 应用程序传输到 prod,用户 2 有权访问 prod。
该对象具有 "app":["pre-prod"] 标签。
用户 1 有权访问 "app":"pre-prod"。
用户 1 需要将该对象传输到 "prod"。
在此例中,需要为该对象配置 "键":"标签列表",以传输应用程序。
任何在角色中配置了带有标签的对象访问权限的用户,都可以使用其无权访问的其他标签。
此处,必须为该对象应用另一个标签。
"app": ["pre-prod", "prod"]。传输后,新应用程序所有者(用户 2)可以从该对象中移除 "app": "pre-prod",以停止用户 1 的访问权限。
除了配置有角色筛选器的标签对象之外,还可以使用 allow_unlabelled_ access 标记为用户启用对不带标签的对象的读取访问权限。
示例:
角色中带有标签的用户需要访问某些没有标签的标准配置文件。
引入了一个新对象
LabelGroup
,用于跟踪允许 or suggested for a given tenant. For each tenant, there can be associated label groups. At the tenant level, the labels can either be enforced or deprecated.