本节介绍了扩展的基于角色的精细访问控制 (RBAC) 功能。

注:

术语“标签”和“标记”在本节中互换使用。

  • 一个对象的多个值(值 1、值 2、值 3...)映射到一个键。

    示例:

    用户 1 需要将 pre-prod 应用程序传输到 prod,用户 2 有权访问 prod。

    该对象具有 "app":["pre-prod"] 标签。

    用户 1 有权访问 "app":"pre-prod"。

    用户 1 需要将该对象传输到 "prod"。

    在此例中,需要为该对象配置 "键":"标签列表",以传输应用程序。

    任何在角色中配置了带有标签的对象访问权限的用户,都可以使用其无权访问的其他标签。

    此处,必须为该对象应用另一个标签。

    "app": ["pre-prod", "prod"]。传输后,新应用程序所有者(用户 2)可以从该对象中移除 "app": "pre-prod",以停止用户 1 的访问权限。

  • 除了配置有角色筛选器的标签对象之外,还可以使用 allow_unlabelled_ access 标记为用户启用对不带标签的对象的读取访问权限。

    示例:

    角色中带有标签的用户需要访问某些没有标签的标准配置文件。

  • 引入了一个新对象 LabelGroup,用于跟踪允许 or suggested for a given tenant. For each tenant, there can be associated label groups. At the tenant level, the labels can either be enforced or deprecated.