作为组织所有者,您可以为用户分配组织角色和服务角色。角色决定了用户可以执行的操作或查看的内容。然后,在服务中,服务管理员可以分配项目角色。要确定要分配的角色,请评估下表中的任务。

Cloud Assembly 服务角色

Cloud Assembly 服务角色决定您在 Cloud Assembly 中可以查看的内容和可以执行的操作。这些服务角色由组织所有者在控制台中定义。

表 1. Cloud Assembly 服务角色说明
角色 说明
Cloud Assembly 管理员 对整个用户界面和 API 资源具有读取和写入访问权限的用户。这是唯一可以查看和执行所有操作的用户角色,包括添加云帐户、创建新项目以及分配项目管理员。
Cloud Assembly 用户 不具有 Cloud Assembly 管理员角色的用户。

Cloud Assembly 项目中,管理员将用户作为项目成员、管理员或查看者添加到项目中。管理员还可以添加项目管理员。

Cloud Assembly 查看者 具有读取访问权限的用户,可以查看信息,但不能创建、更新或删除值。这是所有服务中所有项目的只读角色。

具有查看者角色的用户可以查看管理员可使用的所有信息。除非您将他们设置为项目管理员或项目成员,否则他们无法执行任何操作。如果用户与项目关联,则他们具有与该角色相关的权限。项目查看者不会像管理员或成员角色那样扩展其权限。

除了服务角色外,Cloud Assembly 还具有项目角色。在所有服务中都可以使用任何项目。

项目角色是在 Cloud Assembly 中定义的,可能会因项目而异。

下表介绍了不同的服务和项目角色可以查看的内容和执行的操作,请记住,服务管理员对用户界面的所有区域具有完全权限。

项目角色说明可帮助您决定为用户提供哪些权限。

  • 项目管理员利用服务管理员创建的基础架构来确保项目成员具有进行开发工作所需的资源。
  • 项目成员在其项目中工作,以设计和部署云模板。您的项目只能包含您拥有的资源或与其他项目成员共享的资源。
  • 项目查看者仅具有只读访问权限,但在某些情况下,他们可以执行诸如下载云模板之类的非破坏性操作。
  • 项目主管是 Service Broker 中批准策略定义了项目主管审批者的项目的审批者。要向主管提供批准上下文,还应考虑授予他们项目成员或查看者角色。
表 2. Cloud Assembly 服务角色和项目角色
UI 上下文 任务 Cloud Assembly 管理员 Cloud Assembly 查看者 Cloud Assembly 用户

用户必须是项目管理员或成员才能查看和执行项目相关任务。

项目管理员 项目成员 项目查看者 项目主管
访问 Cloud Assembly
控制台 在 vRA 控制台中,您可以查看并打开 Cloud Assembly
基础架构
查看并打开“基础架构”选项卡
配置 - 项目 创建项目
更新或删除项目摘要、置备、Kubernetes、集成和测试项目配置中的值。
在项目中添加用户和组并分配角色。 是。您的项目。
查看项目 是。您的项目 是。您的项目 是。您的项目 是。您的项目
配置 - 云区域 创建、更新或删除云区域
查看云区域
查看云区域“洞察”仪表板
查看云区域警示
配置 - Kubernetes 区域 创建、更新或删除 Kubernetes 区域
查看 Kubernetes 区域
配置 - 特定实例 创建、更新或删除特定实例
查看特定实例
配置 - 映像映射 创建、更新或删除映像映射
查看映像映射
配置 - 网络配置文件 创建、更新或删除网络配置文件
查看映像网络配置文件
配置 - 存储配置文件 创建、更新或删除存储配置文件
查看映像存储配置文件
配置 - 定价卡 创建、更新或删除定价卡
查看定价卡
配置 - 标记 创建、更新或删除标记
查看标记
资源 - 计算 将标记添加到已发现的计算资源
查看发现的计算资源
资源 - 网络 修改网络标记、IP 范围、IP 地址
查看发现的网络资源
资源 - 安全 将标记添加到已发现的安全组
查看已发现的安全组
资源 - 存储 向发现的存储中添加标记
查看存储
资源 - Kubernetes 部署或添加 Kubernetes 集群,以及创建或添加命名空间
查看 Kubernetes 集群和命名空间 是。您的项目 是。您的项目 是。您的项目
活动 - 请求 删除部署请求记录
查看部署请求记录 是。您的项目 是。您的项目 是。您的项目
活动 - 事件日志 查看事件日志 是。您的项目 是。您的项目 是。您的项目
连接 - 云帐户 创建、更新或删除云帐户
查看云帐户
连接 - 集成 创建、更新或删除集成
查看集成
载入 创建、更新或删除载入计划
查看载入计划 是。您的项目
可扩展性
查看并打开“可扩展性”选项卡
事件 查看可扩展性事件
订阅 创建、更新或删除可扩展性订阅
停用订阅
查看订阅
库 - 事件主题 查看事件主题
库 - 操作 创建、更新或删除可扩展性操作
查看可扩展性操作
库 - 工作流 查看可扩展性工作流
活动 - 操作运行 取消或删除可扩展性操作运行
查看可扩展性操作运行 是。您的项目
活动 - 工作流运行 查看可扩展性工作流运行
设计
设计 打开“设计”选项卡 是。 是。 是。
云模板 创建、更新和删除云模板 是。您的项目 是。您的项目
查看云模板 是。您的项目 是。您的项目 是。您的项目
下载云模板 是。您的项目 是。您的项目 是。您的项目
上载云模板 是。您的项目 是。您的项目
部署云模板 是。您的项目 是。您的项目
版本控制和还原云模板 是。您的项目 是。您的项目
将云模板发布到目录 是。您的项目 是。您的项目
自定义资源 创建、更新或删除自定义资源
查看自定义资源 是。您的项目 是。您的项目 是。您的项目
自定义操作 创建、更新或删除自定义操作
查看自定义操作 是。您的项目 是。您的项目 是。您的项目
资源
查看并打开“资源”选项卡
部署

查看部署,包括部署详细信息、部署历史记录、价格、监控、警示、优化和故障排除信息

是。您的项目 是。您的项目 是。您的项目
管理警示 是。您的项目 是。您的项目
基于策略对部署运行实施后操作 是。您的项目 是。您的项目
资源 - 所有资源 查看所有发现的资源
对已发现的资源运行实施后操作。

操作仅适用于计算机,仅限于打开和关闭所有计算机的电源,以及 vSphere 计算机的远程控制台。

资源 - 所有资源 查看已部署、已载入、已迁移的资源 是。您的项目。 是。您的项目。 是。您的项目。
根据策略对已部署、已载入和已迁移的资源运行实施后操作 是。您的项目。 是。您的项目。
资源 - 虚拟机 查看发现的计算机
对已发现的计算机运行实施后操作。

操作仅限于打开和关闭电源以及 vSphere 计算机的远程控制台。

创建新的虚拟机
查看已部署、已载入和已迁移的资源。 是。您的项目。 是。您的项目。 是。您的项目。
根据策略对已部署、已载入和已迁移的资源运行实施后操作 是。您的项目。 是。您的项目。
资源 - 卷 查看已发现的卷
没有可用的实施后操作
查看已部署、已载入和已迁移的卷 是。您的项目。 是。您的项目。 是。您的项目。
根据策略对已部署、已载入和已迁移的卷运行实施后操作 是。您的项目。 是。您的项目。
资源 - 网络和安全 查看发现的网络、负载均衡器和安全组
没有可用的实施后操作
查看已部署、已载入和已迁移的网络、负载均衡器和安全组 是。您的项目。 是。您的项目。 是。您的项目。
根据策略对已部署、已载入和已迁移的网络、负载均衡器和安全组运行实施后操作 是。您的项目。 是。您的项目。
警示
查看并打开“警示”选项卡
管理警示 是。您的项目 是。您的项目
查看警示 是。您的项目 是。您的项目 是。您的项目

Service Broker 服务角色

Service Broker 服务角色决定您在 Service Broker 中可以查看的内容和可以执行的操作。这些服务角色由组织所有者在控制台中定义。

表 3. Service Broker 服务角色说明
角色 说明
Service Broker 管理员 必须对整个用户界面和 API 资源具有读取和写入访问权限。这是唯一可以执行所有任务(包括创建新项目和分配项目管理员)的用户角色。
Service Broker 用户 不具有 Service Broker 管理员角色的任何用户。

Service Broker 项目中,管理员将用户作为项目成员、管理员或查看者添加到项目中。管理员还可以添加项目管理员。

Service Broker 查看者 具有读取访问权限的用户,可以查看信息,但不能创建、更新或删除值。这是所有服务中所有项目的只读角色。

具有查看者角色的用户可以查看管理员可使用的所有信息。除非您将他们设置为项目管理员或项目成员,否则他们无法执行任何操作。如果用户与项目关联,则他们具有与该角色相关的权限。项目查看者不会像管理员或成员角色那样扩展其权限。

除了服务角色外,Service Broker 还具有项目角色。在所有服务中都可以使用任何项目。

项目角色是在 Service Broker 中定义的,可能会因项目而异。

下表介绍了不同的服务和项目角色可以查看的内容和执行的操作,请记住,服务管理员对用户界面的所有区域具有完全权限。

在您决定为用户提供哪些权限时,可以使用以下项目角色描述为您提供帮助。

  • 项目管理员利用服务管理员创建的基础架构来确保项目成员具有进行开发工作所需的资源。
  • 项目成员在其项目中工作,以设计和部署云模板。在下表中,您的项目只能包含您拥有的资源或与其他项目成员共享的资源。
  • 项目查看者仅限于只读访问权限。
  • 项目主管是 Service Broker 中批准策略定义了项目主管审批者的项目的审批者。要向主管提供批准上下文,还应考虑授予他们项目成员或查看者角色。
表 4. Service Broker 服务角色和项目角色
UI 上下文 任务 Service Broker 管理员 Service Broker 查看者 Service Broker 用户

用户必须是项目管理员才能查看和执行项目相关任务。

项目管理员 项目成员 项目查看者 项目主管
访问 Service Broker
控制台 在控制台中,您可以查看和打开 Service Broker
基础架构
查看并打开“基础架构”选项卡
配置 - 项目 创建项目
更新或删除项目摘要、置备、Kubernetes、集成和测试项目配置中的值。
在项目中添加用户和组并分配角色。 是。您的项目。
查看项目 是。您的项目 是。您的项目 是。您的项目
配置 - 云区域 创建、更新或删除云区域
查看云区域
配置 - Kubernetes 区域 创建、更新或删除 Kubernetes 区域
查看 Kubernetes 区域
连接 - 云帐户 创建、更新或删除云帐户
查看云帐户
连接 - 集成 创建、更新或删除集成
查看集成
活动 - 请求 删除部署请求记录
查看部署请求记录
活动 - 事件日志 查看事件日志
内容和策略
查看并打开“内容和策略”选项卡
内容源 创建、更新或删除内容源
查看内容源
内容 自定义表单和配置项目
查看内容
策略 - 定义 创建、更新或删除策略定义
查看策略定义
策略 - 实施 查看实施日志
通知 - 电子邮件服务器 配置电子邮件服务器
目录
查看并打开“目录”选项卡
查看可用目录项 是。您的项目 是。您的项目 是。您的项目
请求目录项 是。您的项目 是。您的项目
资源
查看并打开“资源”选项卡 是。
部署

查看部署,包括部署详细信息、部署历史记录、价格、监控、警示、优化和故障排除信息

是。您的项目 是。您的项目 是。您的项目
管理警示 是。您的项目 是。您的项目
基于策略对部署运行实施后操作 是。您的项目 是。您的项目
资源 - 所有资源 查看所有发现的资源
对已发现的资源运行实施后操作。

操作仅适用于计算机,仅限于打开和关闭所有计算机的电源,以及 vSphere 计算机的远程控制台。

资源 - 所有资源 查看已部署、已载入、已迁移的资源 是。您的项目。 是。您的项目。 是。您的项目。
根据策略对已部署、已载入和已迁移的资源运行实施后操作 是。您的项目。 是。您的项目。
资源 - 虚拟机 查看发现的计算机
对已发现的计算机运行实施后操作。

操作仅限于打开和关闭电源以及 vSphere 计算机的远程控制台。

创建新的虚拟机
查看已部署、已载入和已迁移的资源。 是。您的项目。 是。您的项目。 是。您的项目。
根据策略对已部署、已载入和已迁移的资源运行实施后操作 是。您的项目。 是。您的项目。
资源 - 卷 查看已发现的卷
没有可用的实施后操作
查看已部署、已载入和已迁移的卷 是。您的项目。 是。您的项目。 是。您的项目。
根据策略对已部署、已载入和已迁移的卷运行实施后操作 是。您的项目。 是。您的项目。
资源 - 网络和安全 查看发现的网络、负载均衡器和安全组
没有可用的实施后操作
查看已部署、已载入和已迁移的网络、负载均衡器和安全组 是。您的项目。 是。您的项目。 是。您的项目。
根据策略对已部署、已载入和已迁移的网络、负载均衡器和安全组运行实施后操作 是。您的项目。 是。您的项目。
批准
查看并打开“批准”选项卡
响应批准请求 是。您的项目和策略审批者是项目管理员 仅当您是指定审批者时 仅当您是指定审批者时 是。您的项目和策略审批者是项目主管