Code Stream 提供了多种方法用于确保用户具有使用管道以发布软件应用程序的相应授权和许可。

每个团队成员都分配有一个角色,该角色授予对管道、端点和仪表板的特定权限以及将资源标记为受限制的能力。

借助用户操作和批准,您可以控制管道何时运行,以及控制管道是否必须等待批准。您的角色决定您是否可以恢复管道,以及是否可以运行包含受限制端点或受限制变量的管道。

使用机密变量可隐藏和加密敏感信息。可以对必须隐藏和加密以及限制在执行中使用的字符串、密码和 URL 使用受限制变量。例如,对密码或 URL 使用机密变量。可以在管道的任何类型的任务中使用机密变量和受限制变量。

Code Stream 中的角色是什么

根据您在 Code Stream 中的角色,您可以执行特定操作以及访问特定区域。例如,您的角色可能允许您创建、更新和运行管道。或者,您可能仅具有查看管道的权限。

除受限制以外的所有操作表示此角色有权对实体执行创建、读取、更新和删除操作,但受限制的变量和端点除外。

表 1. Code Stream 中的服务和项目级别访问权限
Code Stream 角色
访问级别 Code Stream 管理员 Code Stream 开发人员 Code Stream 执行者 Code Stream 查看者 Code Stream 用户
Code Stream 服务级别的访问 全部操作 除受限制以外的所有操作 执行操作 只读
项目级别的访问:项目管理员 全部操作 全部操作 全部操作 全部操作 全部操作
项目级别的访问:项目成员 全部操作 除受限制以外的所有操作 除受限制以外的所有操作 除受限制以外的所有操作 除受限制以外的所有操作
项目级别的访问:项目查看者 全部操作 除受限制以外的所有操作 执行操作 只读 只读

具有项目管理员角色的用户可以针对其作为项目管理员的项目执行所有操作。

项目管理员可以创建、读取、更新和删除管道、变量、端点、仪表板、触发器,以及启动包括受限制端点或变量的管道,前提是这些资源位于用户作为项目管理员的项目中。

具有“服务查看者”角色的用户可以查看管理员可使用的所有信息。除非管理员将他们设置为项目管理员或项目成员,否则他们无法执行任何操作。如果用户与项目关联,则他们具有与该角色相关的权限。项目查看者不会像管理员或成员角色那样扩展其权限。此角色在所有项目中均为只读。

如果您在项目中具有读取权限,则仍可查看受限制的资源。

  • 要查看受限制的端点(在端点卡视图上显示锁定图标),请单击配置 > 端点
  • 要查看受限制的变量和机密变量(在类型列中显示“受限制”或“机密”),请单击配置 > 变量
表 2. Code Stream 服务角色功能
UI 上下文 功能 Code Stream 管理员角色 Code Stream 开发人员角色 Code Stream 执行者角色 Code Stream 查看者角色 Code Stream 用户角色
管道
查看管道
创建管道
运行管道
运行包含受限制端点或受限制变量的管道
更新管道
删除管道
管道执行
查看管道执行
恢复、暂停和取消管道执行
恢复等待批准受限制资源的管道
自定义集成
创建自定义集成
读取自定义集成
更新自定义集成
端点
查看执行
创建执行
更新执行
删除执行
将资源标记为受限制
将端点或变量标记为受限制
仪表板
查看仪表板
创建仪表板
更新仪表板
删除仪表板

Code Stream 中的自定义角色和权限

可以在 Cloud Assembly 中创建自定义角色,以将特权扩展到使用管道的用户。为 Code Stream 管道创建自定义角色时,可以选择一个或多个管道权限。

选择将为其分配此自定义角色的用户所需的最小管道权限数量。

将用户分配给项目并在该项目中赋予角色时,如果为该用户分配包含一个或多个管道权限的自定义角色,则他们可以执行权限所允许的所有操作。例如,他们可以创建受限制的变量、管理受限制的管道、创建和管理自定义集成等。

表 3. 可分配给自定义角色的管道权限
管道权限 Code Stream 管理员 Code Stream 开发人员 Code Stream 执行者 Code Stream 查看者 Code Stream 用户 项目管理员 项目成员 项目查看者
管理管道
管理受限制的管道
管理自定义集成
执行管道
执行受限制的管道
管理执行
读取。此权限不可见。
表 4. 如何在自定义角色中使用管道权限
权限 可执行的操作
管理管道
  • 创建、更新、删除、克隆管道。
  • 将管道发布和取消发布到 VMware Service Broker。
  • 创建、更新和删除端点。
  • 创建、更新和删除常规变量和机密变量。
  • 创建、克隆、更新和删除 Gerrit 侦听器。
  • 连接和断开连接 Gerrit 侦听器。
  • 创建、克隆、更新、删除 Gerrit 触发器。
  • 创建、更新和删除 Git webhook。
  • 创建、更新和删除 Docker webhook。
  • 使用智能管道模板创建管道。
  • 从 YAML 导入管道和将其导出到 YAML。
  • 创建、更新和删除自定义仪表板。
  • 读取所有自定义集成。
  • 读取所有受限制的端点和变量,但无法查看其值。
管理受限制的管道
  • 创建、更新和删除端点。
  • 将端点标记为受限制,更新受限制的端点和删除这些端点。
  • 创建、更新和删除常规变量和机密变量。
  • 创建、更新和删除受限制的变量。
  • 可以使用“管理管道”执行的所有权限。
管理自定义集成
  • 创建和更新自定义集成。
  • 版本控制和发布自定义集成。
  • 删除和弃用自定义集成版本。
  • 删除自定义集成。
执行管道
  • 运行管道。
  • 暂停、恢复和取消管道执行。
  • 重新运行管道执行。
  • 恢复、重新运行和手动触发 Gerrit 触发器事件。
  • 批准用户操作,并可对用户操作执行批量批准。
执行受限制的管道
  • 运行管道。
  • 暂停、恢复、取消和删除管道执行。
  • 重新运行管道执行。
  • 同步正在运行的管道执行。
  • 强制删除正在运行的管道执行。
  • 恢复、重新运行、删除和手动触发 Gerrit 触发器事件。
  • 解决受限制的项目并继续管道执行。
  • 切换用户上下文并在用户操作任务批准后继续管道执行。
  • 可以使用“执行管道”执行的所有权限。
管理执行
  • 运行管道。
  • 暂停、恢复、取消和删除管道执行。
  • 重新运行管道执行。
  • 恢复、重新运行、删除和手动触发 Gerrit 触发器事件。
  • 可以使用“执行管道”执行的所有权限。

自定义角色可包括权限组合。这些权限组织为允许用户管理或运行管道的功能组(受限制和不受限制)。这些权限表示每个角色可在 Code Stream 中执行的所有功能。

例如,如果创建自定义角色并包括称为管理受限制的管道的权限,则具有 Code Stream 开发人员角色的用户可以执行以下操作:

  • 创建、更新和删除端点。
  • 将端点标记为受限制,更新受限制的端点和删除这些端点。
  • 创建、更新和删除常规变量和机密变量。
  • 创建、更新和删除受限制的变量。
表 5. 自定义角色中的管道权限组合示例
分配给自定义角色的权限数 组合权限示例 如何使用此组合
单个权限 执行管道
两个权限 管理管道执行管道
三个权限 管理管道执行管道执行受限制的管道
管理管道管理自定义集成执行受限制的管道

此组合可应用于 Code Stream 开发人员角色,但仅限于用户作为其成员的项目。

管理管道管理自定义集成管理执行

此组合可应用于 Code Stream 管理员,但仅限于用户属于其成员的项目。

管理管道管理受限制的管道管理自定义集成 具有此组合后,用户将拥有完全权限,可以在 Code Stream 中创建和删除任何内容。

如果您具有管理员角色

作为管理员,您可以创建自定义集成、端点、变量、触发器、管道和仪表板。

通过项目,管道可以访问基础架构资源。管理员创建项目,以便用户可以将管道、端点和仪表板组合在一起。然后,用户在其管道中选择项目。每个项目都包括一位管理员和分配有角色的用户。

如果您具有管理员角色,则可以将端点和变量标记为受限制资源,还可以运行使用受限制资源的管道。如果非管理用户运行包含受限制端点或变量的管道,则管道将在使用受限制变量的任务处停止,并且管理员必须恢复管道。

作为管理员,您还可以请求在 vRealize Automation Service Broker 中发布管道。

如果您具有开发人员角色

除了无法使用受限制端点或受限制变量,您可以像管理员一样使用管道。

如果运行使用受限端点或变量的管道,则该管道仅运行使用受限资源的任务。然后,管道停止, Code Stream 管理员或项目管理员必须恢复管道。

如果您具有用户角色

您可以访问 Code Stream,但不具有其他角色提供的任何特权。

如果您具有查看者角色

您可以查看与管理员所查看的相同资源,例如管道、端点、管道执行、仪表板、自定义集成和触发器,但无法执行创建、更新或删除操作。要执行操作,还必须为查看者角色赋予项目管理员或项目成员角色。

具有查看者角色的用户可以查看项目。此外,他们还可以查看受限制的端点和受限制的变量,但无法查看其相关详细信息。

如果您具有执行者角色

您可以运行管道并对用户操作任务执行操作。您还可以恢复、暂停和取消管道执行。但是,您无法修改管道。

如何分配和更新角色

您必须是管理员,才能为其他用户分配和更新角色。

  1. 要查看活动用户及其角色,请在 vRealize Automation 中单击右上角的九个点。
  2. 单击身份与访问管理

    VMware Cloud Services 窗格打开身份与访问管理页面并显示用户及其角色。

  3. 要显示用户名和角色,请单击活动用户

    身份与访问管理页面显示用户名、电子邮件地址、组织角色和服务角色。

  4. 要为用户添加角色或更改其角色,请单击用户名旁边的复选框,然后单击编辑角色
  5. 添加或更改用户角色时,您还可以添加对服务的访问权限。
  6. 要保存更改,请单击保存