作为 vRealize Automation 组织所有者或服务管理员,您可以使用组织和服务系统角色管理用户访问。但是,您还希望为所选用户创建自定义角色,并执行任务或查看其系统角色之外的内容。

此方案假设您了解服务用户和查看者,以及用例 2 中定义的项目成员和查看者角色。您会发现,他们比用例 1 中使用的服务和项目管理员角色更受限。现在,您已经标识了某些本地用例,希望某些用户对某些功能具有完全管理权限和查看他人的权限,但是您不希望他们查看另一组功能。您可以使用自定义角色来定义这些权限。

此用例基于三个可能的本地用例。此过程说明了如何为以下自定义角色创建权限。
  • 受限基础架构管理员。您希望某些服务用户(而非服务管理员)具有更广泛的基础架构权限。作为管理员,您希望他们能够帮助设置云区域、映像和特定实例。您还希望他们能够载入和管理已发现的资源。请注意,他们不能添加云帐户或集成,只能为这些端点定义基础架构。
  • 可扩展性开发人员。您希望某些服务用户拥有完整权限,以便在为项目团队和其他项目开发云模板的过程中使用可扩展性操作和订阅。他们还将为多个项目开发自定义资源类型和自定义操作。
  • XaaS 开发人员。您希望某些服务用户具有完全权限,以便为多个项目开发自定义资源类型和自定义操作。
  • 部署故障排除人员。您希望您的项目管理员具有对失败的部署进行故障排除和执行根本原因分析的权限。您可以为他们提供对非破坏性或较低成本的类别(如映像和特定实例映射)的管理权限。您还希望项目管理员有权设置批准和实施后策略,这是失败部署故障排除角色的一部分权限。

前提条件

过程

  1. 将组织成员角色分配给云模板开发人员用户。
    如果您需要说明,请参见 第一个用例
  2. 为云模板开发人员和目录使用者分配 Cloud AssemblyService Broker 服务角色。
    如果您需要说明,请参见 第二个用例
  3. Cloud Assembly 中创建用于对资源和用户进行分组的项目。
    以下针对自定义角色的步骤还包括项目角色。
    如果您需要有关创建项目的说明,请参见 第二个用例
  4. 为每个项目团队创建和发布云模板。
    如果您需要说明,请参见 第一个用例
  5. 以服务管理员身份登录到 Cloud Assembly,然后选择基础架构 > 管理 > 自定义角色
  6. 创建受限的基础架构管理员角色。
    在本示例中,您有一个擅长为各种项目设置基础架构的用户 Tony,但您不希望授予他全部服务权限。Tony 构建的核心基础架构支持所有项目工作。您可以为其提供有限的基础架构管理权限。Tony 或外部承包商可能还具有类似的权限,可用于载入发现的计算机并将其纳入 vRealize Automation 管理范围。
    1. 将 Tony 作为服务用户和查看者添加到 Cloud Assembly
      他拥有查看者权限,因此如果他需要对其工作进行故障排除,则可以查看底层云帐户和集成,但无法进行更改。
    2. 创建项目并将 Tony 添加为项目成员。
    3. 要创建自定义角色,请选择基础架构 > 管理 > 自定义角色,然后单击新建自定义角色
    4. 输入名称 Restricted Infrastructure Administrator,然后选择以下权限。
      选择此权限... 用户可以...
      基础架构 > 管理云区域 创建、更新和删除云区域。
      基础架构 > 管理特定实例映射 创建、更新和删除特定实例映射。
      基础架构 > 管理映像映射 创建、更新和删除映像映射。
    5. 单击创建
    6. 在“自定义角色”页面上,选择 Restricted Infrastructure Administrator 角色,然后单击分配
    7. 输入 Tony 的电子邮件帐户,然后单击添加
      例如,输入 [email protected]
      您也可以输入任何已定义的 Active Directory 用户组。
    8. 让 Tony 确认登录后能够在自定义角色定义的区域中添加、编辑和删除值。
  7. 创建可扩展性开发人员角色。
    在本示例中,您有多个云模板开发人员(Sylvia 和 Igor),他们熟悉如何使用可扩展性操作和订阅来管理日常开发任务。他们也熟知 vRealize Orchestrator,因此可以完成为各种项目提供自定义资源和操作的任务。您可以通过管理自定义资源和操作以及管理可扩展性操作和订阅,为他们提供其他权限来管理可扩展性。
    1. 将 Sylvia 和 Igor 添加为 Cloud Assembly 用户。
    2. 在他们发挥可扩展性技能的项目中将他们添加为项目成员。
    3. 创建自定义用户角色并命名为 Extensibility Developer,然后选择以下权限。
      选择此权限... 用户可以...
      XaaS > 管理自定义资源 创建、更新或删除自定义资源。
      XaaS > 管理资源操作 创建、更新或删除自定义操作。
      可扩展性 > 管理可扩展性资源 创建、更新或删除可扩展性操作和订阅。禁用订阅。取消和删除操作运行。
    4. 单击创建
    5. 将 Sylvia 和 Igor 分配给 Extensibility Developer 角色。
    6. 确认 Sylvia 和 Igor 能够管理自定义资源和操作,且能够管理“可扩展性”选项卡上的各个选项。
  8. 创建部署故障排除人员角色。
    在本示例中,您为项目管理员提供了更多管理权限,以便他们可以修复其团队的部署失败问题。
    1. 将项目管理员、Shauna、Pratap 和 Wei 添加为 Cloud AssemblyService Broker 服务用户。
    2. 在他们的项目中,将他们添加为项目管理员。
    3. 创建一个自定义用户角色,并将其命名为 部署故障排除人员,并选择以下权限。
      选择此权限... 用户可以...
      基础架构 > 管理特定实例映射 创建、更新和删除特定实例映射。
      基础架构 > 管理映像映射 创建、更新和删除映像映射。
      部署 > 管理部署 跨项目查看所有部署以及对部署和部署组件运行实施后操作。
      策略 > 管理策略 创建、更新或删除策略定义。
    4. 单击创建
    5. 将 Shauna、Pratap 和 Wei 分配到部署故障排除人员角色。
    6. 验证他们是否可以在 Service Broker 中管理特定实例映射、映像映射和策略。

结果

在此用例中,您可以配置具有各种角色的不同用户,包括扩展其服务和项目角色的自定义角色。

下一步做什么

创建满足您的本地用例要求的自定义角色。