Sie können Zugriff auf laufzeitdefinierte Entitäten (Runtime Defined Entities, RDEs) gewähren, indem Sie sie für andere Systemadministratoren oder Mandanten freigeben.
Freigeben definierter Entitäten für einen anderen Benutzer
-
Wenn Sie Mandanten Zugriff auf definierte Entitäten gewähren möchten, veröffentlichen Sie das Rechtepaket des definierten Entitätstyps in einer Mandantenorganisation. Beispielsweise müssen Sie für die Erstellung und Verwaltung von Tanzu Kubernetes-Clustern das Rechtepaket Berechtigung vmware:tkgcluster veröffentlichen. Weitere Informationen finden Sie im Veröffentlichen oder Aufheben der Veröffentlichung eines Rechtepakets.
Wenn Sie die definierte Entität für einen Systemadministrator freigeben möchten, überspringen Sie diesen Schritt.
-
Weisen Sie den Benutzerrollen, die die spezifische Zugriffsebene für die definierte Entität erhalten sollen, das Recht Ansicht: TYPE, Bearbeiten: TYPE oder Vollständige Kontrolle: TYPE aus dem Paket zu.
Sollen die Benutzer mit der Rolle tkg_viewer beispielsweise Tanzu Kubernetes-Cluster innerhalb der Organisation anzeigen können, müssen Sie der Rolle das Recht Ansicht: Tanzu Kubernetes-Gastcluster hinzufügen. Wenn Benutzer mit der Rolle tkg_author Tanzu Kubernetes-Cluster in dieser Organisation erstellen, anzeigen und ändern können sollen, fügen Sie dieser Rolle das Recht Bearbeiten: Tanzu Kubernetes-Gastcluster hinzu. Wenn Benutzer mit der Rolle tkg_admin Tanzu Kubernetes-Cluster in dieser Organisation erstellen, anzeigen, ändern und löschen können sollen, fügen Sie dieser Rolle das Recht Vollständige Kontrolle: Tanzu Kubernetes-Gastcluster hinzu.
-
Gewähren Sie dem jeweiligen Benutzer eine Zugriffssteuerungsliste (ACL), indem Sie den folgenden REST-API-Aufruf ausführen.
POST https://[address]/cloudapi/1.0.0/entities/urn:vcloud:entity:[vendor]:[type name]:[version]:[UUID]/accessControls { "grantType" : "MembershipAccessControlGrant", "accessLevelId" : "urn:vcloud:accessLevel:[Access_level]", "memberId" : "urn:vcloud:user:[User_ID]" }
Access_level muss
ReadOnly
,ReadWrite
oderFullControl
sein. User_ID muss die ID des Benutzers sein, dem Sie den Zugriff auf die definierte Entität gewähren möchten.Benutzer mit der Rolle tkg_viewer, die im Beispiel beschrieben sind, können keinen ACL-Zugriff gewähren. Benutzer mit der Rolle tkg_author oder tkg_admin können den Zugriff auf eine VMWARE:TKGCLUSTER-Entität für Benutzer mit der Rolle tkg_viewer, tkg_author oder tkg_admin freigeben, indem Sie ihnen mit der API-Anforderung ACL-Zugriff gewähren.
Sie können auch REST-API-Aufrufe verwenden, um den Zugriff zu widerrufen oder anzuzeigen, wer Zugriff auf die Entität hat. Weitere Informationen finden Sie in der Dokumentation zur VMware Cloud Director-REST-API unter code.vmware.com.
Freigeben von Administratorrechten für definierte Entitäten
-
Wenn Sie Mandanten Zugriff auf definierte Entitäten gewähren möchten, veröffentlichen Sie das Rechtepaket des definierten Entitätstyps in einer Mandantenorganisation. Beispielsweise müssen Sie für die Erstellung und Verwaltung von Tanzu Kubernetes-Clustern das Rechtepaket Berechtigung vmware:tkgcluster veröffentlichen. Weitere Informationen finden Sie im Veröffentlichen oder Aufheben der Veröffentlichung eines Rechtepakets.
Wenn Sie die definierte Entität für einen Systemadministrator freigeben möchten, überspringen Sie diesen Schritt.
-
Weisen Sie den Benutzerrollen, die die spezifische Zugriffsebene für die definierte Entität erhalten sollen, das Recht Administratoransicht: TYPE oder Vollständige Administratorkontrolle: TYPE aus dem Paket zu.
Sollen die Benutzer mit dieser Rolle beispielsweise Tanzu Kubernetes-Cluster innerhalb der Organisation anzeigen können, müssen Sie der Rolle das Recht Administratoransicht: Tanzu Kubernetes-Gastcluster hinzufügen. Wenn Benutzer mit dieser Rolle Tanzu Kubernetes-Cluster in allen Organisationen erstellen, anzeigen, ändern und löschen können sollen, fügen Sie der Benutzerrolle das Recht Vollständige Kontrolle des Administrators: Tanzu Kubernetes-Gastcluster hinzu.
Benutzer mit dem Recht Vollständige Kontrolle des Administrators: Tanzu Kubernetes-Gastcluster können ACL-Zugriff auf jede VMWARE:TKGCLUSTER-Entität gewähren.
Ändern des Besitzers einer definierten Entität
Der Besitzer einer definierten Entität oder ein Benutzer mit dem Recht Vollständige Kontrolle des Administrators: TYPE kann den Besitz auf einen anderen Benutzer übertragen, indem er das definierte Entitätsmodell aktualisiert und im Feld für den Besitzer die ID des neuen Besitzers angibt.