Los proveedores de servicios pueden utilizar la API de VMware Cloud Director para crear extensiones que proporcionen funcionalidades de VMware Cloud Director adicionales a los tenants. Si un proveedor de servicios le otorgó acceso, puede administrar las entidades definidas y compartirlas con otros tenants.
Los proveedores de servicios pueden crear tipos de entidades definidas en tiempo de ejecución que permiten a las extensiones almacenar y manipular la información específica de la extensión en VMware Cloud Director. Por ejemplo, una extensión de Kubernetes puede almacenar en entidades definidas en tiempo de ejecución la información sobre los clústeres de Kubernetes que administra. La extensión puede entonces proporcionar distintas API de extensión para administrar esos clústeres utilizando la información de las entidades definidas en tiempo de ejecución. Si el proveedor de servicios comparte con usted el paquete de derechos para el tipo de entidad definida en tiempo de ejecución, puede crear instancias de ese tipo.
Cuando se crea una entidad definida en una organización de tenant, no se puede compartir la entidad definida con tenants de otra organización. No se puede cambiar el propietario de una entidad definida por un usuario de otra organización.
Acceso a entidades definidas
Dos mecanismos complementarios controlan el acceso a las entidades definidas en tiempo de ejecución.
-
Derechos: cuando un proveedor de servicios crea un tipo de entidad definida en tiempo de ejecución, se crea un paquete de derechos para ese tipo. Un proveedor de servicios debe asignarle uno o varios de los cinco derechos específicos del tipo: Ver: Tipo, Editar: Tipo, Control total: Tipo, Vista de administración: Tipo y Control total de administración: Tipo.
Ver: Tipo, Editar: Tipo y Control total: Tipo solo funcionan en combinación con una entrada de ACL.
- Lista de control de acceso (ACL): la tabla de ACL contiene entradas que definen el acceso que tienen los usuarios a entidades específicas del sistema. Proporciona un nivel de control adicional para las entidades. Por ejemplo, mientras que el derecho Editar: Tipo especifica que un usuario puede modificar las entidades a las que tiene acceso, la tabla de ACL define las entidades a las que tiene acceso el usuario.
Operación de entidad | Opción | Descripción | |
---|---|---|---|
Leer | Derecho Vista de administración: Tipo | Los usuarios con este derecho pueden ver todas las entidades definidas en tiempo de ejecución de este tipo dentro de una organización. | |
Derecho Ver: Tipo y entrada de ACL >= Ver | Los usuarios con este derecho y una ACL de nivel de lectura pueden ver tiempo de ejecución de este tipo. | ||
Modificar | Derecho Control total de administración: Tipo | Los usuarios con este derecho pueden crear, ver, modificar y eliminar entidades definidas en tiempo de ejecución de este tipo en todas las organizaciones. | |
Derecho Editar: Tipo y entrada de ACL >= Cambiar | Los usuarios con este derecho y una ACL de nivel de modificación pueden crear, ver y modificar entidades definidas en tiempo de ejecución de este tipo. | ||
Eliminar | Derecho Control total de administración: Tipo | Los usuarios con este derecho pueden crear, ver, modificar y eliminar entidades definidas en tiempo de ejecución de este tipo en todas las organizaciones. | |
Derecho Control total: Tipo y entrada de ACL = Control total | Los usuarios con este derecho y una ACL de nivel de control total pueden crear, ver, modificar y eliminar entidades definidas en tiempo de ejecución de este tipo. |
Compartir entidades definidas con otro usuario
Si un administrador del sistema publicó el paquete de derechos de un tipo de entidad definida y le otorgó a usted acceso de ReadWrite
o FullControl
, o si usted es el propietario de la entidad definida, puede compartir el acceso a esas entidades con otros usuarios.
-
Asigne el derecho Ver: Tipo, Editar: Tipo o Control total: Tipo del paquete a las funciones de usuario que desee que tengan un nivel específico de acceso a la entidad definida.
Nota: Debe iniciar sesión como administrador del sistema o administrador de la organización para asignar derechos.Por ejemplo, si desea que los usuarios con la función tkg_viewer vean los clústeres de Tanzu Kubernetes dentro de la organización, debe agregar el derecho Ver: Clúster invitado de Tanzu Kubernetes a la función. Si desea que los usuarios con la función tkg_author creen, vean y modifiquen clústeres de Tanzu Kubernetes dentro de esta organización, agregue Editar: Clúster invitado de Tanzu Kubernetes a esa función. Si desea que los usuarios con la función tkg_admin creen, vean, modifiquen y eliminen clústeres de Tanzu Kubernetes dentro de esta organización, agregue el derecho Control total: Clúster invitado de Tanzu Kubernetes a la función.
-
Otorgue a un usuario específico una lista de control de acceso (ACL) a través de la siguiente llamada de REST API.
POST https://[address]/cloudapi/1.0.0/entities/urn:vcloud:entity:[vendor]:[type name]:[version]:[UUID]/accessControls { "grantType" : "MembershipAccessControlGrant", "accessLevelId" : "urn:vcloud:accessLevel:[Access_level]", "memberId" : "urn:vcloud:user:[User_ID]" }
Access_level debe ser
ReadOnly
,ReadWrite
oFullControl
. User_ID debe ser el identificador del usuario al que desea conceder acceso a la entidad definida.Debe tener acceso de
ReadWrite
oFullControl
a una entidad para conceder acceso a la ACL a esa entidad.Los usuarios con la función tkg_viewer, que se describe en el ejemplo, no pueden conceder acceso a la ACL. Los usuarios con la función tkg_author o tkg_admin pueden compartir el acceso a una entidad VMWARE:TKGCLUSTER con usuarios que tengan la función tkg_viewer, tkg_author o tkg_admin, al concederles acceso a la ACL a través de la solicitud de API.
Los usuarios con el derecho Control total: Clúster invitado de Tanzu Kubernetes pueden conceder acceso a la ACL a cualquier entidad VMWARE:TKGCLUSTER.
También puede utilizar llamadas de REST API para revocar el acceso o para ver quién tiene acceso a la entidad. Consulte la VMware Cloud Director documentación de REST API.
Cambiar el propietario de una entidad definida
El propietario de una entidad definida o un usuario con el derecho Control total de administración: Tipo puede transferir la propiedad a otro usuario actualizando el modelo de entidad definido y cambiando el campo de propietario por el ID del nuevo propietario.
Trabajar con definiciones de entidad personalizada
Las definiciones de entidad personalizada de VMware Cloud Director son tipos de objeto enlazados a tipos de objeto de VMware Aria Automation Orchestrator. Los usuarios en una organización de VMware Cloud Director pueden poseer, administrar y cambiar dichos tipos en función de sus necesidades. Mediante la ejecución de los servicios, los usuarios de la organización pueden crear instancias de las entidades personalizadas y aplicar acciones a las instancias de los objetos.