Code Stream bietet mehrere Möglichkeiten, um sicherzustellen, dass Benutzer über die entsprechende Autorisierung und Zustimmung verfügen, um mit Pipelines zu arbeiten, die Ihre Softwareanwendungen freigeben.

Jedes Mitglied in einem Team hat eine zugewiesene Rolle, die bestimmte Berechtigungen für Pipelines, Endpoints und Dashboards erteilt und die Möglichkeit bietet, Ressourcen als eingeschränkt zu markieren.

Mithilfe von Benutzervorgängen und Genehmigungen können Sie festlegen, wann eine Pipeline ausgeführt wird und für eine Genehmigung angehalten werden muss. Ihre Rolle legt fest, ob Sie eine Pipeline fortsetzen und Pipelines ausführen können, die eingeschränkte Endpoints oder Variablen enthalten.

Verwenden Sie geheime Variablen, um vertrauliche Informationen auszublenden und zu verschlüsseln. Verwenden Sie eingeschränkte Variablen für Zeichenfolgen, Kennwörter und URLs, die ausgeblendet und verschlüsselt sein müssen, sowie zur Einschränkung ihrer Nutzung in Ausführungen. Verwenden Sie beispielsweise eine geheime Variable für ein Kennwort oder eine URL. Sie können geheime und eingeschränkte Variablen in jeder Art von Aufgabe in Ihrer Pipeline verwenden.

Definition von Rollen in Code Stream

Je nach Ihrer Rolle in Code Stream können Sie bestimmte Aktionen ausführen und auf bestimmte Bereiche zugreifen. Beispiel: Sie können mit Ihrer Rolle unter Umständen Pipelines erstellen, aktualisieren und ausführen. Oder Sie verfügen nur über die Berechtigung zum Anzeigen von Pipelines.

Alle, ausgenommen eingeschränkter Aktionen bedeutet, dass dieser Rolle die Berechtigung zum Durchführen, Erstellen, Lesen, Aktualisieren und Löschen von Aktionen in Entitäten, ausgenommen eingeschränkter Variablen und Endpoints, erteilt wurde.

Tabelle 1. Zugriffsberechtigungen auf Dienst- und Projektebene in Code Stream
Code Stream-Rollen
Zugriffsebenen Code Stream-Administrator Code Stream-Entwickler Code Stream-Executor Code Stream-Betrachter Code Stream-Benutzer
Zugriff auf Ebene des Code Stream-Diensts Alle Aktionen Alle, ausgenommen eingeschränkter Aktionen Ausführungsaktionen Schreibgeschützt Keine
Zugriff auf Projektebene: Projektadministrator Alle Aktionen Alle Aktionen Alle Aktionen Alle Aktionen Alle Aktionen
Zugriff auf Projektebene: Projektmitglied Alle Aktionen Alle, ausgenommen eingeschränkter Aktionen Alle, ausgenommen eingeschränkter Aktionen Alle, ausgenommen eingeschränkter Aktionen Alle, ausgenommen eingeschränkter Aktionen
Zugriff auf Projektebene: Projekt-Viewer Alle Aktionen Alle, ausgenommen eingeschränkter Aktionen Ausführungsaktionen Schreibgeschützt Schreibgeschützt

Benutzer mit der Rolle „Projektadministrator“ können alle Aktionen für Projekte ausführen, bei denen sie als Projektadministratoren fungieren.

Ein Projektadministrator kann Pipelines, Variablen, Endpoints, Dashboards und Auslöser erstellen, lesen, aktualisieren und löschen. Weiterhin kann er eine Pipeline mit eingeschränkten Endpoints oder Variablen starten, wenn sich die Ressourcen in dem Projekt befinden, in dem der Benutzer als Projektadministrator fungiert.

Benutzer, die über die Rolle „Dienst-Viewer“ verfügen, können alle für den Administrator verfügbaren Informationen anzeigen. Sie können keine Aktionen ausführen, es sei denn, der Administrator macht sie zu einem Projektadministrator oder Projektmitglied. Wenn der Benutzer zu einem Projekt gehört, verfügt er über die Berechtigungen, die mit dieser Rolle verbunden sind. Der Projekt-Viewer erweitert seine Berechtigungen nicht in der Weise, wie dies bei den Rollen „Projektadministrator“ oder „Projektmitglied“ der Fall ist. Diese Rolle verfügt für alle Projekte nur über Leserechte.

Wenn Sie über Leseberechtigungen in einem Projekt verfügen, können Sie weiterhin eingeschränkte Ressourcen anzeigen.

  • Zum Anzeigen eingeschränkter Endpoints, für die auf der Endpoint-Karte ein Sperrsymbol angezeigt wird, klicken Sie auf Konfigurieren > Endpoints.
  • Zum Anzeigen eingeschränkter oder geheimer Variablen, für die EINGESCHRÄNKT oder GEHEIM in der Spalte Typ angezeigt wird, klicken Sie auf Konfigurieren > Variablen.
Tabelle 2. Funktionen der Code Stream-Dienstrolle
UI-Kontext Funktionen Code Stream-Administratorrolle Code Stream-Entwicklerrolle Code Stream-Executor-Rolle Code Stream-Viewer-Rolle Code Stream-Benutzerrolle
Pipelines
Pipelines anzeigen Ja Ja Ja Ja
Pipelines erstellen Ja Ja
Pipelines ausführen Ja Ja Ja
Pipelines ausführen, die eingeschränkte Endpoints oder Variablen enthalten Ja
Pipelines aktualisieren Ja Ja
Pipelines löschen Ja Ja
Pipeline-Ausführungen
Pipeline-Ausführungen anzeigen Ja Ja Ja Ja
Pipeline-Ausführungen fortsetzen, anhalten und abbrechen Ja Ja Ja
Pipelines fortsetzen, die für die Genehmigung auf eingeschränkten Ressourcen angehalten werden Ja
Benutzerdefinierte Integrationen
Benutzerdefinierte Integrationen erstellen Ja Ja
Benutzerdefinierte Integrationen lesen Ja Ja Ja Ja
Benutzerdefinierte Integration aktualisieren Ja Ja
Endpoints
Ausführungen anzeigen Ja Ja Ja Ja
Ausführungen erstellen Ja Ja
Ausführungen aktualisieren Ja Ja
Ausführungen löschen Ja Ja
Ressourcen als eingeschränkt kennzeichnen
Endpoint oder Variable als eingeschränkt kennzeichnen Ja
Dashboards
Dashboards anzeigen Ja Ja Ja Ja
Dashboards erstellen Ja Ja
Dashboards aktualisieren Ja Ja
Dashboards löschen Ja Ja

Benutzerdefinierte Rollen und Berechtigungen in Code Stream

Sie können in Cloud Assembly benutzerdefinierte Rollen erstellen, mit denen Berechtigungen auf Benutzer erweitert werden, die mit Pipelines arbeiten. Wenn Sie eine benutzerdefinierte Rolle für Code Stream-Pipelines erstellen, wählen Sie eine oder mehrere Pipeline-Berechtigungen aus.

Wählen Sie die geringste Anzahl an Pipeline-Berechtigungen aus, die von Benutzern benötigt wird, denen diese benutzerdefinierte Rolle zugewiesen wird.

Wenn ein Benutzer einem Projekt zugewiesen wird und eine Rolle in diesem Projekt erhält und diesem Benutzer dann eine benutzerdefinierte Rolle zugeteilt wird, die eine oder mehrere Pipeline-Berechtigungen enthält, kann der Benutzer alle durch die Berechtigungen zugelassenen Aktionen durchführen. Der Benutzer kann beispielsweise eingeschränkte Variablen erstellen, eingeschränkte Pipelines verwalten, benutzerdefinierte Integrationen erstellen und verwalten usw.

Tabelle 3. Pipeline-Berechtigungen, die benutzerdefinierten Rollen zugewiesen werden können
Pipeline-Berechtigung Code Stream-Administrator Code Stream-Entwickler Code Stream-Executor Code Stream-Betrachter Code Stream-Benutzer Projektadministrator Projektmitglied Projekt-Viewer
Pipelines verwalten Ja Ja Ja Ja
Eingeschränkte Pipelines verwalten Ja Ja
Benutzerdefinierte Integrationen verwalten Ja Ja
Pipelines ausführen Ja Ja Ja Ja Ja
Eingeschränkte Pipelines ausführen Ja Ja
Ausführungen verwalten Ja Ja
Lesen. Diese Berechtigung wird nicht angezeigt. Ja Ja Ja Ja Ja Ja Ja
Tabelle 4. Vorgehensweise zum Verwenden von Pipeline-Berechtigungen mit benutzerdefinierten Rollen
Berechtigung Aktion
Pipelines verwalten
  • Pipelines erstellen, aktualisieren, löschen klonen
  • Pipelines für VMware Service Broker freigeben und deren Freigabe aufheben.
  • Endpoints erstellen, aktualisieren und löschen.
  • Reguläre und geheime Variablen erstellen, aktualisieren und löschen.
  • Gerrit-Listener erstellen, klonen, aktualisieren und löschen.
  • Gerrit-Listener verbinden und deren Verbindung aufheben.
  • Gerrit-Auslöser erstellen, klonen, aktualisieren, löschen.
  • Git-Webhook erstellen, aktualisieren und löschen.
  • Docker-Webhook erstellen, aktualisieren und löschen.
  • Intelligente Pipeline-Vorlagen zum Erstellen von Vorlagen verwenden.
  • Pipelines aus YAML importieren und nach YAML exportieren.
  • Benutzerdefinierte Dashboards erstellen, aktualisieren und löschen.
  • Alle benutzerdefinierten Integrationen lesen.
  • Alle eingeschränkten Endpoints und Variablen lesen, zugehörige Werte können jedoch nicht angezeigt werden.
Eingeschränkte Pipelines verwalten
  • Endpoints erstellen, aktualisieren und löschen.
  • Endpoints als eingeschränkt kennzeichnen, eingeschränkte Endpoints aktualisieren und Endpoints löschen.
  • Reguläre und geheime Variablen erstellen, aktualisieren und löschen.
  • Eingeschränkte Variablen erstellen, aktualisieren und löschen.
  • Alle Berechtigungen, die mit „Pipelines verwalten“ zur Verfügung stehen.
Benutzerdefinierte Integrationen verwalten
  • Benutzerdefinierte Integrationen erstellen und aktualisieren.
  • Benutzerdefinierte Integrationen versionieren und freigeben.
  • Benutzerdefinierte Integrationsversionen löschen und als veraltet kennzeichnen.
  • Benutzerdefinierte Integrationen löschen.
Pipelines ausführen
  • Pipelines ausführen.
  • Pipeline-Ausführungen anhalten, fortsetzen und abbrechen.
  • Pipeline-Ausführungen erneut ausführen.
  • Gerrit-Auslöserereignis fortsetzen, erneut ausführen und manuell auslösen.
  • Benutzervorgang genehmigen und Batchgenehmigungen von Benutzervorgängen durchführen.
Eingeschränkte Pipelines ausführen
  • Pipelines ausführen.
  • Pipeline-Ausführungen anhalten, fortsetzen, abbrechen und löschen.
  • Pipeline-Ausführungen erneut ausführen.
  • Laufende Pipeline-Ausführung synchronisieren.
  • Löschen einer laufenden Pipeline-Ausführung erzwingen.
  • Gerrit-Auslöserereignis fortsetzen, erneut ausführen, löschen und manuell auslösen.
  • Eingeschränkte Elemente auflösen und die Pipeline-Ausführung fortsetzen.
  • Benutzerkontext wechseln und Pipeline-Ausführung nach der Genehmigung einer Benutzervorgangsaufgabe fortsetzen.
  • Alle Berechtigungen, die mit „Pipelines ausführen“ zur Verfügung stehen.
Ausführungen verwalten
  • Pipelines ausführen.
  • Pipeline-Ausführungen anhalten, fortsetzen, abbrechen und löschen.
  • Pipeline-Ausführungen erneut ausführen.
  • Gerrit-Auslöserereignis fortsetzen, erneut ausführen, löschen und manuell auslösen.
  • Alle Berechtigungen, die mit „Pipelines ausführen“ zur Verfügung stehen.

Benutzerdefinierte Rollen können Kombinationen von Berechtigungen enthalten. Diese Berechtigungen sind in Gruppen von Funktionen zusammengefasst, mit denen Benutzer Pipelines mit und ohne eingeschränkte Ressourcen verwalten oder ausführen können. Diese Berechtigungen repräsentieren alle Funktionen, die von jeder Rolle in Code Stream ausgeführt werden können.

Wenn Sie beispielsweise eine benutzerdefinierte Rolle erstellen und die Berechtigung Eingeschränkte Pipelines verwalten einbeziehen, können Benutzer mit der Rolle „ Code Stream-Entwickler“ folgende Aktionen durchführen:

  • Endpoints erstellen, aktualisieren und löschen.
  • Endpoints als eingeschränkt kennzeichnen, eingeschränkte Endpoints aktualisieren und Endpoints löschen.
  • Reguläre und geheime Variablen erstellen, aktualisieren und löschen.
  • Eingeschränkte Variablen erstellen, aktualisieren und löschen.
Tabelle 5. Beispielkombinationen für Pipeline-Berechtigungen in benutzerdefinierten Rollen
Anzahl der der benutzerdefinierten Rolle zugewiesenen Berechtigungen Beispiele für kombinierte Berechtigungen Vorgehensweise zum Verwenden dieser Kombination
Eine Berechtigung Pipelines ausführen
Zwei Berechtigungen Pipelines verwalten und Pipelines ausführen
Drei Berechtigungen Pipelines verwalten und Pipelines ausführen und Eingeschränkte Pipelines ausführen
Pipelines verwalten und Benutzerdefinierte Integrationen verwalten und Eingeschränkte Pipelines ausführen

Diese Kombination gilt unter Umständen für eine Rolle vom Typ „ Code Stream-Entwickler“, ist aber auf die Projekte beschränkt, zu denen der Benutzer gehört.
Pipelines verwalten und Benutzerdefinierte Integrationen verwalten und Ausführungen verwalten

Diese Kombination gilt unter Umständen für einen Code Stream-Administrator, ist aber auf die Projekte beschränkt, zu denen der Benutzer gehört.
Pipelines verwalten, Eingeschränkte Pipelines verwalten und Benutzerdefinierte Integrationen verwalten Mit dieser Kombination verfügt ein Benutzer über uneingeschränkte Berechtigungen und kann in Code Stream alle Aktionen erstellen und löschen.

Rolle „Administrator“

Als Administrator können Sie benutzerdefinierte Integrationen, Endpoints, Variablen, Auslöser, Pipelines und Dashboards erstellen.

Projekte ermöglichen Pipelines den Zugriff auf Infrastrukturressourcen. Administratoren erstellen Projekte, damit Benutzer Pipelines, Endpoints und Dashboards gruppieren können. Benutzer wählen dann das Projekt in ihren Pipelines aus. Jedes Projekt umfasst einen Administrator sowie Benutzer mit zugewiesenen Rollen.

Mit der Administratorrolle können Sie Endpoints und Variablen als eingeschränkte Ressourcen markieren sowie Pipelines ausführen, die eingeschränkte Ressourcen verwenden. Wenn ein Benutzer ohne Administratorrechte die Pipeline ausführt, die einen eingeschränkten Endpoint oder eine eingeschränkte Variable enthält, wird die Pipeline bei der Aufgabe angehalten, in der die eingeschränkte Variable verwendet wird. Die Pipeline muss dann von einem Administrator fortgesetzt werden.

Als Administrator können Sie auch verlangen, dass Pipelines in vRealize Automation Service Broker veröffentlicht werden.

Rolle „Entwickler“

Sie können mit Pipelines wie ein Administrator arbeiten, mit der Ausnahme, dass Sie nicht mit eingeschränkten Endpoints oder Variablen arbeiten können.

Wenn Sie eine Pipeline ausführen, die eingeschränkte Endpoints oder Variablen verwendet, wird die Pipeline nur bis zu der Aufgabe ausgeführt, die die eingeschränkte Ressource verwendet. Dann wird sie angehalten und ein Code Stream- oder Projektadministrator muss die Pipeline fortsetzen.

Rolle „Benutzer“

Sie können auf Code Stream zugreifen, haben aber keine Berechtigungen wie die anderen Rollen.

Rolle „Viewer“

Sie können dieselben Ressourcen anzeigen wie ein Administrator, beispielsweise Pipelines, Endpoints, Pipeline-Ausführungen, Dashboards, benutzerdefinierte Integrationen und Auslöser. Sie können diese Ressourcen jedoch weder erstellen, aktualisieren noch löschen. Zum Durchführen von Aktionen muss der Viewer-Rolle ebenfalls die Rolle „Projektadministrator“ oder „Projektmitglied“ zugewiesen werden.

Benutzer mit der Viewer-Rolle können Projekte anzeigen. Sie können auch eingeschränkte Endpoints und Variablen anzeigen. Entsprechende Detailinformationen stehen jedoch nicht zur Verfügung.

Rolle „Executor“

Sie können Pipelines ausführen und Aktionen in Verbindung mit Benutzervorgangsaufgaben durchführen. Sie können darüber hinaus Pipeline-Ausführungen fortsetzen, anhalten und abbrechen. Sie können Pipelines jedoch nicht ändern.

Vorgehensweise beim Zuweisen und Aktualisieren von Rollen

Sie müssen Administrator sein, um Rollen für andere Benutzer zuzuweisen und zu aktualisieren.

  1. Wenn Sie die aktiven Benutzer und deren Rollen anzeigen möchten, klicken Sie in vRealize Automation oben rechts auf das Symbol mit den neun Punkten.
  2. Klicken Sie auf Identitäts- und Zugriffsverwaltung.

    Das VMware Cloud-Fenster „Dienste“ öffnet die Seite Identitäts- und Zugriffsverwaltung und zeigt die Benutzer und ihre Rollen an.

  3. Um Benutzernamen und Rollen anzuzeigen, klicken Sie auf Aktive Benutzer.

    Die Seite Identitäts- und Zugriffsverwaltung enthält Benutzernamen, E-Mail-Adressen, Organisationsrollen und Dienstrollen.

  4. Um Rollen für einen Benutzer hinzuzufügen oder seine Rollen zu ändern, aktivieren Sie das Kontrollkästchen neben dem Benutzernamen und klicken Sie auf Rollen bearbeiten.
  5. Wenn Sie Benutzerrollen hinzufügen oder ändern, können Sie auch den Zugriff auf Dienste hinzufügen.
  6. Um Ihre Änderungen zu speichern, klicken Sie auf Speichern.