为 Cloud Assembly、Service Broker 和 Code Stream 服务定义的组织和服务用户角色确定了用户在每个服务中可查看的内容和执行的操作。
组织用户角色
由组织所有者在 vRealize Automation 控制台中为组织定义用户角色。有两种类型的角色:组织角色和服务角色。
组织角色是全局的,适用于组织中的所有服务。组织级别的角色是组织所有者或组织成员角色。
有关组织角色的详细信息,请参见管理 vRealize Automation
Cloud Assembly 服务角色(是特定于服务的权限)也在控制台的组织级别分配。
服务角色
这些服务角色由组织所有者分配。
本文包含有关以下服务的信息。
Cloud Assembly 服务角色
Cloud Assembly 服务角色决定您在 Cloud Assembly 中可以查看的内容和可以执行的操作。这些服务角色由组织所有者在控制台中定义。
角色 | 说明 |
---|---|
Cloud Assembly 管理员 | 对整个用户界面和 API 资源具有读取和写入访问权限的用户。这是唯一可以查看和执行所有操作的用户角色,包括添加云帐户、创建新项目以及分配项目管理员。 |
Cloud Assembly 用户 | 不具有 Cloud Assembly 管理员角色的用户。 在 Cloud Assembly 项目中,管理员将用户作为项目成员、管理员或查看者添加到项目中。管理员还可以添加项目管理员。 |
Cloud Assembly 查看者 | 具有读取访问权限的用户,可以查看信息,但不能创建、更新或删除值。这是所有服务中所有项目的只读角色。 具有查看者角色的用户可以查看管理员可使用的所有信息。除非您将他们设置为项目管理员或项目成员,否则他们无法执行任何操作。如果用户与项目关联,则他们具有与该角色相关的权限。项目查看者不会像管理员或成员角色那样扩展其权限。 |
除了服务角色外,Cloud Assembly 还具有项目角色。在所有服务中都可以使用任何项目。
项目角色是在 Cloud Assembly 中定义的,可能会因项目而异。
下表介绍了不同的服务和项目角色可以查看的内容和执行的操作,请记住,服务管理员对用户界面的所有区域具有完全权限。
项目角色说明可帮助您决定为用户提供哪些权限。
- 项目管理员利用服务管理员创建的基础架构来确保项目成员具有进行开发工作所需的资源。
- 项目成员在其项目中工作,以设计和部署云模板。您的项目只能包含您拥有的资源或与其他项目成员共享的资源。
- 项目查看者仅具有只读访问权限,但在某些情况下,他们可以执行诸如下载云模板之类的非破坏性操作。
- 项目主管是 Service Broker 中批准策略定义了项目主管审批者的项目的审批者。要向主管提供批准上下文,还应考虑授予他们项目成员或查看者角色。
UI 上下文 | 任务 | Cloud Assembly 管理员 | Cloud Assembly 查看者 | Cloud Assembly 用户 用户必须是项目管理员或成员才能查看和执行项目相关任务。 |
|||
---|---|---|---|---|---|---|---|
项目管理员 | 项目成员 | 项目查看者 | 项目主管 | ||||
访问 Cloud Assembly | |||||||
控制台 | 在 vRA 控制台中,您可以查看并打开 Cloud Assembly | 是 | 是 | 是 | 是 | 是 | 是 |
基础架构 | |||||||
查看并打开“基础架构”选项卡 | 是 | 是 | 是 | 是 | 是 | 是 | |
配置 - 项目 | 创建项目 | 是 | |||||
更新或删除项目摘要、置备、Kubernetes、集成和测试项目配置中的值。 | 是 | ||||||
在项目中添加用户和组并分配角色。 | 是 | 是。您的项目。 | |||||
查看项目 | 是 | 是 | 是。您的项目 | 是。您的项目 | 是。您的项目 | 是。您的项目 | |
配置 - 云区域 | 创建、更新或删除云区域 | 是 | |||||
查看云区域 | 是 | 是 | |||||
查看云区域“洞察”仪表板 | 是 | 是 | |||||
查看云区域警示 | 是 | 是 | |||||
配置 - Kubernetes 区域 | 创建、更新或删除 Kubernetes 区域 | 是 | |||||
查看 Kubernetes 区域 | 是 | 是 | |||||
配置 - 特定实例 | 创建、更新或删除特定实例 | 是 | |||||
查看特定实例 | 是 | 是 | |||||
配置 - 映像映射 | 创建、更新或删除映像映射 | 是 | |||||
查看映像映射 | 是 | 是 | |||||
配置 - 网络配置文件 | 创建、更新或删除网络配置文件 | 是 | |||||
查看映像网络配置文件 | 是 | 是 | |||||
配置 - 存储配置文件 | 创建、更新或删除存储配置文件 | 是 | |||||
查看映像存储配置文件 | 是 | 是 | |||||
配置 - 定价卡 | 创建、更新或删除定价卡 | 是 | |||||
查看定价卡 | 是 | 是 | |||||
配置 - 标记 | 创建、更新或删除标记 | 是 | |||||
查看标记 | 是 | 是 | |||||
资源 - 计算 | 将标记添加到已发现的计算资源 | 是 | |||||
查看发现的计算资源 | 是 | 是 | |||||
资源 - 网络 | 修改网络标记、IP 范围、IP 地址 | 是 | |||||
查看发现的网络资源 | 是 | 是 | |||||
资源 - 安全 | 将标记添加到已发现的安全组 | 是 | |||||
查看已发现的安全组 | 是 | 是 | |||||
资源 - 存储 | 向发现的存储中添加标记 | 是 | |||||
查看存储 | 是 | 是 | |||||
资源 - Kubernetes | 部署或添加 Kubernetes 集群,以及创建或添加命名空间 | 是 | |||||
查看 Kubernetes 集群和命名空间 | 是 | 是 | 是。您的项目 | 是。您的项目 | 是。您的项目 | ||
活动 - 请求 | 删除部署请求记录 | 是 | |||||
查看部署请求记录 | 是 | 是 | 是。您的项目 | 是。您的项目 | 是。您的项目 | ||
活动 - 事件日志 | 查看事件日志 | 是 | 是 | 是。您的项目 | 是。您的项目 | 是。您的项目 | |
连接 - 云帐户 | 创建、更新或删除云帐户 | 是 | |||||
查看云帐户 | 是 | 是 | |||||
连接 - 集成 | 创建、更新或删除集成 | 是 | |||||
查看集成 | 是 | 是 | |||||
载入 | 创建、更新或删除载入计划 | 是 | |||||
查看载入计划 | 是 | 是。您的项目 | |||||
可扩展性 | |||||||
查看并打开“可扩展性”选项卡 | 是 | 是 | 是 | ||||
事件 | 查看可扩展性事件 | 是 | 是 | ||||
订阅 | 创建、更新或删除可扩展性订阅 | 是 | |||||
停用订阅 | 是 | ||||||
查看订阅 | 是 | 是 | |||||
库 - 事件主题 | 查看事件主题 | 是 | 是 | ||||
库 - 操作 | 创建、更新或删除可扩展性操作 | 是 | |||||
查看可扩展性操作 | 是 | 是 | |||||
库 - 工作流 | 查看可扩展性工作流 | 是 | 是 | ||||
活动 - 操作运行 | 取消或删除可扩展性操作运行 | 是 | |||||
查看可扩展性操作运行 | 是 | 是 | 是。您的项目 | ||||
活动 - 工作流运行 | 查看可扩展性工作流运行 | 是 | 是 | ||||
设计 | |||||||
设计 | 打开“设计”选项卡 | 是 | 是 | 是。 | 是。 | 是。 | 是 |
云模板 | 创建、更新和删除云模板 | 是 | 是。您的项目 | 是。您的项目 | |||
查看云模板 | 是 | 是 | 是。您的项目 | 是。您的项目 | 是。您的项目 | ||
下载云模板 | 是 | 是 | 是。您的项目 | 是。您的项目 | 是。您的项目 | ||
上载云模板 | 是 | 是。您的项目 | 是。您的项目 | ||||
部署云模板 | 是 | 是。您的项目 | 是。您的项目 | ||||
版本控制和还原云模板 | 是 | 是。您的项目 | 是。您的项目 | ||||
将云模板发布到目录 | 是 | 是。您的项目 | 是。您的项目 | ||||
自定义资源 | 创建、更新或删除自定义资源 | 是 | |||||
查看自定义资源 | 是 | 是 | 是。您的项目 | 是。您的项目 | 是。您的项目 | ||
自定义操作 | 创建、更新或删除自定义操作 | 是 | |||||
查看自定义操作 | 是 | 是 | 是。您的项目 | 是。您的项目 | 是。您的项目 | ||
资源 | |||||||
查看并打开“资源”选项卡 | 是 | 是 | 是 | 是 | 是 | 是 | |
部署 | 查看部署,包括部署详细信息、部署历史记录、价格、监控、警示、优化和故障排除信息 |
是 | 是 | 是。您的项目 | 是。您的项目 | 是。您的项目 | |
管理警示 | 是 | 是。您的项目 | 是。您的项目 | ||||
基于策略对部署运行实施后操作 | 是 | 是。您的项目 | 是。您的项目 | ||||
资源 - 所有资源 | 查看所有发现的资源 | 是 | 是 | ||||
对已发现的资源运行实施后操作。 操作仅适用于计算机,仅限于打开和关闭所有计算机的电源,以及 vSphere 计算机的远程控制台。 |
是 | ||||||
资源 - 所有资源 | 查看已部署、已载入、已迁移的资源 | 是 | 是 | 是。您的项目。 | 是。您的项目。 | 是。您的项目。 | |
根据策略对已部署、已载入和已迁移的资源运行实施后操作 | 是 | 是 | 是。您的项目。 | 是。您的项目。 | |||
资源 - 虚拟机 | 查看发现的计算机 | 是 | 是 | ||||
对已发现的计算机运行实施后操作。 操作仅限于打开和关闭电源以及 vSphere 计算机的远程控制台。 |
是 | ||||||
创建新的虚拟机 | 是 | ||||||
查看已部署、已载入和已迁移的资源。 | 是 | 是。您的项目。 | 是。您的项目。 | 是。您的项目。 | |||
根据策略对已部署、已载入和已迁移的资源运行实施后操作 | 是 | 是。您的项目。 | 是。您的项目。 | ||||
资源 - 卷 | 查看已发现的卷 | 是 | 是 | ||||
没有可用的实施后操作 | |||||||
查看已部署、已载入和已迁移的卷 | 是 | 是 | 是。您的项目。 | 是。您的项目。 | 是。您的项目。 | ||
根据策略对已部署、已载入和已迁移的卷运行实施后操作 | 是 | 是。您的项目。 | 是。您的项目。 | ||||
资源 - 网络和安全 | 查看发现的网络、负载均衡器和安全组 | 是 | 是 | ||||
没有可用的实施后操作 | |||||||
查看已部署、已载入和已迁移的网络、负载均衡器和安全组 | 是 | 是 | 是。您的项目。 | 是。您的项目。 | 是。您的项目。 | ||
根据策略对已部署、已载入和已迁移的网络、负载均衡器和安全组运行实施后操作 | 是 | 是。您的项目。 | 是。您的项目。 | ||||
警示 | |||||||
查看并打开“警示”选项卡 | 是 | 是 | 是 | 是 | 是 | ||
管理警示 | 是 | 是。您的项目 | 是。您的项目 | ||||
查看警示 | 是 | 是 | 是。您的项目 | 是。您的项目 | 是。您的项目 |
Service Broker 服务角色
Service Broker 服务角色决定您在 Service Broker 中可以查看的内容和可以执行的操作。这些服务角色由组织所有者在控制台中定义。
角色 | 说明 |
---|---|
Service Broker 管理员 | 必须对整个用户界面和 API 资源具有读取和写入访问权限。这是唯一可以执行所有任务(包括创建新项目和分配项目管理员)的用户角色。 |
Service Broker 用户 | 不具有 Service Broker 管理员角色的任何用户。 在 Service Broker 项目中,管理员将用户作为项目成员、管理员或查看者添加到项目中。管理员还可以添加项目管理员。 |
Service Broker 查看者 | 具有读取访问权限的用户,可以查看信息,但不能创建、更新或删除值。这是所有服务中所有项目的只读角色。 具有查看者角色的用户可以查看管理员可使用的所有信息。除非您将他们设置为项目管理员或项目成员,否则他们无法执行任何操作。如果用户与项目关联,则他们具有与该角色相关的权限。项目查看者不会像管理员或成员角色那样扩展其权限。 |
除了服务角色外,Service Broker 还具有项目角色。在所有服务中都可以使用任何项目。
项目角色是在 Service Broker 中定义的,可能会因项目而异。
下表介绍了不同的服务和项目角色可以查看的内容和执行的操作,请记住,服务管理员对用户界面的所有区域具有完全权限。
在您决定为用户提供哪些权限时,可以使用以下项目角色描述为您提供帮助。
- 项目管理员利用服务管理员创建的基础架构来确保项目成员具有进行开发工作所需的资源。
- 项目成员在其项目中工作,以设计和部署云模板。在下表中,您的项目只能包含您拥有的资源或与其他项目成员共享的资源。
- 项目查看者仅限于只读访问权限。
- 项目主管是 Service Broker 中批准策略定义了项目主管审批者的项目的审批者。要向主管提供批准上下文,还应考虑授予他们项目成员或查看者角色。
UI 上下文 | 任务 | Service Broker 管理员 | Service Broker 查看者 | Service Broker 用户 用户必须是项目管理员才能查看和执行项目相关任务。 |
|||
---|---|---|---|---|---|---|---|
项目管理员 | 项目成员 | 项目查看者 | 项目主管 | ||||
访问 Service Broker | |||||||
控制台 | 在控制台中,您可以查看和打开 Service Broker | 是 | 是 | 是 | 是 | 是 | 是 |
基础架构 | |||||||
查看并打开“基础架构”选项卡 | 是 | 是 | |||||
配置 - 项目 | 创建项目 | 是 | |||||
更新或删除项目摘要、置备、Kubernetes、集成和测试项目配置中的值。 | 是 | ||||||
在项目中添加用户和组并分配角色。 | 是 | 是。您的项目。 | |||||
查看项目 | 是 | 是 | 是。您的项目 | 是。您的项目 | 是。您的项目 | ||
配置 - 云区域 | 创建、更新或删除云区域 | 是 | |||||
查看云区域 | 是 | 是 | |||||
配置 - Kubernetes 区域 | 创建、更新或删除 Kubernetes 区域 | 是 | |||||
查看 Kubernetes 区域 | 是 | 是 | |||||
连接 - 云帐户 | 创建、更新或删除云帐户 | 是 | |||||
查看云帐户 | 是 | 是 | |||||
连接 - 集成 | 创建、更新或删除集成 | 是 | |||||
查看集成 | 是 | 是 | |||||
活动 - 请求 | 删除部署请求记录 | 是 | |||||
查看部署请求记录 | 是 | ||||||
活动 - 事件日志 | 查看事件日志 | 是 | |||||
内容和策略 | |||||||
查看并打开“内容和策略”选项卡 | 是 | 是 | |||||
内容源 | 创建、更新或删除内容源 | 是 | |||||
查看内容源 | 是 | 是 | |||||
内容 | 自定义表单和配置项目 | 是 | |||||
查看内容 | 是 | 是 | |||||
策略 - 定义 | 创建、更新或删除策略定义 | 是 | |||||
查看策略定义 | 是 | 是 | |||||
策略 - 实施 | 查看实施日志 | 是 | 是 | ||||
通知 - 电子邮件服务器 | 配置电子邮件服务器 | 是 | |||||
目录 | |||||||
查看并打开“目录”选项卡 | 是 | 是 | 是 | 是 | 是 | 是 | |
查看可用目录项 | 是 | 是 | 是。您的项目 | 是。您的项目 | 是。您的项目 | ||
请求目录项 | 是 | 是。您的项目 | 是。您的项目 | ||||
资源 | |||||||
查看并打开“资源”选项卡 | 是 | 是 | 是。 | 是 | 是 | 是 | |
部署 | 查看部署,包括部署详细信息、部署历史记录、价格、监控、警示、优化和故障排除信息 |
是 | 是 | 是。您的项目 | 是。您的项目 | 是。您的项目 | |
管理警示 | 是 | 是。您的项目 | 是。您的项目 | ||||
基于策略对部署运行实施后操作 | 是 | 是。您的项目 | 是。您的项目 | ||||
资源 - 所有资源 | 查看所有发现的资源 | 是 | 是 | ||||
对已发现的资源运行实施后操作。 操作仅适用于计算机,仅限于打开和关闭所有计算机的电源,以及 vSphere 计算机的远程控制台。 |
是 | ||||||
资源 - 所有资源 | 查看已部署、已载入、已迁移的资源 | 是 | 是 | 是。您的项目。 | 是。您的项目。 | 是。您的项目。 | |
根据策略对已部署、已载入和已迁移的资源运行实施后操作 | 是 | 是 | 是。您的项目。 | 是。您的项目。 | |||
资源 - 虚拟机 | 查看发现的计算机 | 是 | 是 | ||||
对已发现的计算机运行实施后操作。 操作仅限于打开和关闭电源以及 vSphere 计算机的远程控制台。 |
是 | ||||||
创建新的虚拟机 | 是 | ||||||
查看已部署、已载入和已迁移的资源。 | 是 | 是。您的项目。 | 是。您的项目。 | 是。您的项目。 | |||
根据策略对已部署、已载入和已迁移的资源运行实施后操作 | 是 | 是。您的项目。 | 是。您的项目。 | ||||
资源 - 卷 | 查看已发现的卷 | 是 | 是 | ||||
没有可用的实施后操作 | |||||||
查看已部署、已载入和已迁移的卷 | 是 | 是 | 是。您的项目。 | 是。您的项目。 | 是。您的项目。 | ||
根据策略对已部署、已载入和已迁移的卷运行实施后操作 | 是 | 是。您的项目。 | 是。您的项目。 | ||||
资源 - 网络和安全 | 查看发现的网络、负载均衡器和安全组 | 是 | 是 | ||||
没有可用的实施后操作 | |||||||
查看已部署、已载入和已迁移的网络、负载均衡器和安全组 | 是 | 是 | 是。您的项目。 | 是。您的项目。 | 是。您的项目。 | ||
根据策略对已部署、已载入和已迁移的网络、负载均衡器和安全组运行实施后操作 | 是 | 是。您的项目。 | 是。您的项目。 | ||||
批准 | |||||||
查看并打开“批准”选项卡 | 是 | 是 | 是 | 是 | 是 | 是 | |
响应批准请求 | 是 | 是。您的项目和策略审批者是项目管理员 | 仅当您是指定审批者时 | 仅当您是指定审批者时 | 是。您的项目和策略审批者是项目主管 |
Code Stream 服务角色
Code Stream 服务角色决定您在 Code Stream 中可以查看的内容和可以执行的操作。这些角色由组织所有者在控制台中定义。在所有服务中都可以使用任何项目。
角色 | 说明 |
---|---|
Code Stream 管理员 | 对整个用户界面和 API 资源具有读取和写入访问权限的用户。只有此用户角色才能查看所有内容以及执行所有操作,包括创建项目,集成端点,添加触发器,创建管道和自定义仪表板,将端点和变量标记为受限制资源,运行使用受限制资源的管道,以及请求在 Service Broker 中发布管道。 |
Code Stream 开发人员 | 可以使用管道但无法使用受限制端点或变量的用户。如果管道包含受限制端点或变量,则此用户必须获得批准才能执行使用受限制端点或变量的管道任务。 |
Code Stream 执行者 | 可以运行管道并批准或拒绝用户操作任务的用户。此用户可以恢复、暂停和取消管道执行,但不能修改管道。 |
Code Stream 用户 | 可以访问 Code Stream,但在 Code Stream 中不具有任何其他特权的用户。 |
Code Stream 查看者 | 具有读取访问权限的用户,可以查看管道、端点、管道执行和仪表板,但不能进行创建、更新或删除。此外,具有“服务查看者”角色的用户也可以查看管理员可使用的所有信息。除非您将他们设置为项目管理员或项目成员,否则他们无法执行任何操作。如果用户与项目关联,则他们具有与该角色相关的权限。项目查看者不会像管理员或成员角色那样扩展其权限。 |
除了服务角色外, Code Stream 还具有项目角色。在所有服务中都可以使用任何项目。
项目角色是在 Code Stream 中定义的,可能会因项目而异。
下表介绍了不同的服务和项目角色可以查看的内容和执行的操作,请记住,服务管理员对用户界面的所有区域具有完全权限。
使用以下项目角色描述可帮助您决定为用户提供哪些权限。
- 项目管理员利用服务管理员创建的基础架构来确保项目成员具有进行开发工作所需的资源。项目管理员可以添加成员。
- 具有服务角色的项目成员可以使用服务。
- 项目查看者可以查看项目,但不能创建、更新或删除项目。
除受限制以外的所有操作表示此角色有权对实体执行创建、读取、更新和删除操作,但受限制的变量和端点除外。
UI 上下文 | 功能 | Code Stream 管理员角色 | Code Stream 开发人员角色 | Code Stream 执行者角色 | Code Stream 查看者角色 | Code Stream 用户角色 |
---|---|---|---|---|---|---|
管道 | ||||||
查看管道 | 是 | 是 | 是 | 是 | ||
创建管道 | 是 | 是 | ||||
运行管道 | 是 | 是 | 是 | |||
运行包含受限制端点或受限制变量的管道 | 是 | |||||
更新管道 | 是 | 是 | ||||
删除管道 | 是 | 是 | ||||
管道执行 | ||||||
查看管道执行 | 是 | 是 | 是 | 是 | ||
恢复、暂停和取消管道执行 | 是 | 是 | 是 | |||
恢复等待批准受限制资源的管道 | 是 | |||||
自定义集成 | ||||||
创建自定义集成 | 是 | 是 | ||||
读取自定义集成 | 是 | 是 | 是 | 是 | ||
更新自定义集成 | 是 | 是 | ||||
端点 | ||||||
查看执行 | 是 | 是 | 是 | 是 | ||
创建执行 | 是 | 是 | ||||
更新执行 | 是 | 是 | ||||
删除执行 | 是 | 是 | ||||
将资源标记为受限制 | ||||||
将端点或变量标记为受限制 | 是 | |||||
仪表板 | ||||||
查看仪表板 | 是 | 是 | 是 | 是 | ||
创建仪表板 | 是 | 是 | ||||
更新仪表板 | 是 | 是 | ||||
删除仪表板 | 是 | 是 |
vRA Migration Assistant 服务角色
vRA Migration Assistant 服务角色决定您在 vRA Migration Assistant 和 Cloud Assembly 中可以查看的内容和可以执行的操作。这些服务角色由组织所有者在控制台中定义。
角色 | 说明 |
---|---|
Migration Assistant 管理员 | 在 vRA Migration Assistant 和 Cloud Assembly 中具有完全查看、更新和删除特权的用户。 此角色还必须至少具有 Cloud Assembly 查看者角色。 |
Migration Assistant 查看者 | 具有读取访问权限的用户,可以在 vRA Migration Assistant 或 Cloud Assembly 中查看信息,但不能创建、更新或删除值。 此角色还必须至少具有 Cloud Assembly 查看者角色。 |
Orchestrator 服务角色
Orchestrator 服务角色决定了您可以在 vRealize Orchestrator Client 中查看和执行哪些任务。这些服务角色由组织所有者在控制台中定义。
角色 | 说明 |
---|---|
Orchestrator 管理员 | 在 vRealize Orchestrator 中拥有完全查看、更新和删除特权的用户。管理员还可以访问由特定组创建的内容。 |
Orchestrator 查看者 | 具有读取访问权限的用户,可以查看功能和内容(包括所有组和组内容),但不能创建、更新、运行、删除值或导出内容。这是所有服务中所有项目的只读角色。 |
Orchestrator 工作流设计人员 | 可以创建、运行、编辑和删除自己的 vRealize Orchestrator 客户端内容的用户。可以将自己的内容添加到为其分配的组。工作流设计人员无法访问 vRealize Orchestrator Client 的管理和故障排除功能。 |
SaltStack Config 服务角色
SaltStack Config 服务角色决定在 vRealize Automation 中可以查看的内容和可以执行的操作。该服务角色由组织所有者在控制台中定义。
角色 | 说明 |
---|---|
SaltStack Config 管理员 | 配置与 Cloud Assembly 的集成后,可以在控制台上访问 SaltStack Config 图标的用户。要登录 SaltStack Config 实例,用户必须具有 SaltStack 配置中定义的 SaltStack 管理员权限。 该用户还必须具有 Cloud Assembly 管理员角色。 |