作为云管理员,您希望可以控制用户可在 vRealize Automation 中执行的任务。根据您的管理目标和应用程序开发团队的职责,您可以通过不同方式配置用户角色以支持这些目标。

下面的 Cloud AssemblyService Broker 示例基于三个用例。这些示例只是为了提供充分的说明,以阐述用户角色的应用。

这些用例的目标受众是云管理员和服务管理员。

这些用例互为构建基础。如果您准备直接进入用例 3,可能需要查看用例 1 和 2,以更好地了解如何以指定的方式配置角色。

这些用例是为了展示用户角色,而不是提供有关配置基础架构、管理项目、创建云模板和使用部署的详细信息。

开始之前,您必须了解云管理员在 vRealize Automation 控制台中配置的用户角色级别。

  • 组织角色

    组织角色用于控制可以访问控制台的人员。

    作为组织所有者,您必须确保为任一服务的所有用户分配至少一个组织成员角色。

    角色 说明
    组织所有者 管理员可以添加用户、更改用户的角色以及从组织中移除用户。所有者负责管理用户有权访问哪些服务。
    组织成员 常规用户可以登录到组织控制台。要访问服务,组织所有者必须分配用户服务角色。
  • 服务角色

    服务角色控制哪些用户可以访问他们分配的服务。

    作为组织所有者,您必须确保为需要访问服务的用户分配适当的角色。您可以使用角色来控制用户在每个服务中可以操作的程度。

    表 1. Cloud Assembly 服务角色说明
    角色 说明
    Cloud Assembly 管理员 对整个用户界面和 API 资源具有读取和写入访问权限的用户。这是唯一可以查看和执行所有操作的用户角色,包括添加云帐户、创建新项目以及分配项目管理员。
    Cloud Assembly 用户 不具有 Cloud Assembly 管理员角色的用户。

    Cloud Assembly 项目中,管理员将用户作为项目成员、管理员或查看者添加到项目中。管理员还可以添加项目管理员。

    Cloud Assembly 查看者 具有读取访问权限的用户,可以查看信息,但不能创建、更新或删除值。这是所有服务中所有项目的只读角色。

    具有查看者角色的用户可以查看管理员可使用的所有信息。除非您将他们设置为项目管理员或项目成员,否则他们无法执行任何操作。如果用户与项目关联,则他们具有与该角色相关的权限。项目查看者不会像管理员或成员角色那样扩展其权限。
    表 2. Service Broker 服务角色说明
    角色 说明
    Service Broker 管理员 必须对整个用户界面和 API 资源具有读取和写入访问权限。这是唯一可以执行所有任务(包括创建新项目和分配项目管理员)的用户角色。
    Service Broker 用户 不具有 Service Broker 管理员角色的任何用户。

    Service Broker 项目中,管理员将用户作为项目成员、管理员或查看者添加到项目中。管理员还可以添加项目管理员。

    Service Broker 查看者 具有读取访问权限的用户,可以查看信息,但不能创建、更新或删除值。这是所有服务中所有项目的只读角色。

    具有查看者角色的用户可以查看管理员可使用的所有信息。除非您将他们设置为项目管理员或项目成员,否则他们无法执行任何操作。如果用户与项目关联,则他们具有与该角色相关的权限。项目查看者不会像管理员或成员角色那样扩展其权限。
    表 3. Code Stream 服务角色描述
    角色 说明
    Code Stream 管理员 对整个用户界面和 API 资源具有读取和写入访问权限的用户。只有此用户角色才能查看所有内容以及执行所有操作,包括创建项目,集成端点,添加触发器,创建管道和自定义仪表板,将端点和变量标记为受限制资源,运行使用受限制资源的管道,以及请求在 Service Broker 中发布管道。
    Code Stream 开发人员 可以使用管道但无法使用受限制端点或变量的用户。如果管道包含受限制端点或变量,则此用户必须获得批准才能执行使用受限制端点或变量的管道任务。
    Code Stream 执行者 可以运行管道并批准或拒绝用户操作任务的用户。此用户可以恢复、暂停和取消管道执行,但不能修改管道。
    Code Stream 用户 可以访问 Code Stream,但在 Code Stream 中不具有任何其他特权的用户。
    Code Stream 查看者 具有读取访问权限的用户,可以查看管道、端点、管道执行和仪表板,但不能进行创建、更新或删除。此外,具有“服务查看者”角色的用户也可以查看管理员可使用的所有信息。除非您将他们设置为项目管理员或项目成员,否则他们无法执行任何操作。如果用户与项目关联,则他们具有与该角色相关的权限。项目查看者不会像管理员或成员角色那样扩展其权限。
  • 项目成员资格角色

    项目成员资格可确定可用的基础架构资源和云模板。

    项目成员资格由具有服务管理员角色的用户在服务中定义。服务管理员必须确保在每个项目中为需要访问一个或多个项目的用户分配了相应的项目角色。

    表 4. 项目角色
    角色 说明
    项目管理员 项目管理员可以管理自己的项目,创建和部署与项目关联的云模板,以及管理所有项目成员的项目部署。
    项目成员 项目成员可以创建和部署与其项目关联的云模板,管理自己的部署以及管理任何共享部署。
    项目查看者 项目查看者是项目的成员,对其项目资源、云模板和部署具有只读访问权限。
  • 自定义角色

    自定义角色由 Cloud Assembly 创建,以便细化成员和查看者角色。

这些用例中提供的过程旨在突出显示用户角色,并未详细或明确介绍设置 vRealize Automation 的过程。

在配置角色时,请记住,运行 API 操作的用户会受到您在此处分配的角色的制约。

前提条件

  • 确认您具有组织所有者角色。您在登录控制台后,必须能够查看身份和访问管理选项卡。否则,请与组织所有者联系。
  • 确认您具有各种服务的服务管理员角色。如果您不确定自己的角色,请与组织所有者联系。
  • 验证 vRealize Automation 中是否添加了用户。

    安装 vRealize Automation 时,将在此过程中添加 Active Directory 用户。

  • 有关各种角色的更详细任务和角色列表,请参见 vRealize Automation 中的组织和服务用户角色