Administrar entidades definidas en VMware Cloud Director

Los proveedores de servicios pueden utilizar la API de VMware Cloud Director para crear extensiones que proporcionen funcionalidades de VMware Cloud Director adicionales a los tenants. Si un proveedor de servicios le otorgó acceso, puede administrar las entidades definidas y compartirlas con otros tenants.

Los proveedores de servicios pueden crear tipos de entidades definidas en tiempo de ejecución que permiten a las extensiones almacenar y manipular la información específica de la extensión en VMware Cloud Director. Por ejemplo, una extensión de Kubernetes puede almacenar en entidades definidas en tiempo de ejecución la información sobre los clústeres de Kubernetes que administra. La extensión puede entonces proporcionar distintas API de extensión para administrar esos clústeres utilizando la información de las entidades definidas en tiempo de ejecución. Si el proveedor de servicios comparte con usted el paquete de derechos para el tipo de entidad definida en tiempo de ejecución, puede crear instancias de ese tipo.

Cuando se crea una entidad definida en una organización de tenant, no se puede compartir la entidad definida con tenants de otra organización. No se puede cambiar el propietario de una entidad definida por un usuario de otra organización.

Acceso a entidades definidas

Dos mecanismos complementarios controlan el acceso a las entidades definidas en tiempo de ejecución.

Derechos: cuando un proveedor de servicios crea un tipo de entidad definida en tiempo de ejecución, se crea un paquete de derechos para ese tipo. Un proveedor de servicios debe asignarle uno o varios de los cinco derechos específicos del tipo: Ver: Tipo, Editar: Tipo, Control total: Tipo, Vista de administración: Tipo y Control total de administración: Tipo.

Ver: Tipo, Editar: Tipo y Control total: Tipo solo funcionan en combinación con una entrada de ACL.
Lista de control de acceso (ACL): la tabla de ACL contiene entradas que definen el acceso que tienen los usuarios a entidades específicas del sistema. Proporciona un nivel de control adicional para las entidades. Por ejemplo, mientras que el derecho Editar: Tipo especifica que un usuario puede modificar las entidades a las que tiene acceso, la tabla de ACL define las entidades a las que tiene acceso el usuario.

Tabla 1. Derechos y entradas de ACL para operaciones de RDE
Operación de entidad	Opción	Descripción
Leer	Derecho Vista de administración: Tipo	Los usuarios con este derecho pueden ver todas las entidades definidas en tiempo de ejecución de este tipo dentro de una organización.
Leer	Derecho Ver: Tipo y entrada de ACL >= Ver	Los usuarios con este derecho y una ACL de nivel de lectura pueden ver tiempo de ejecución de este tipo.
Modificar	Derecho Control total de administración: Tipo	Los usuarios con este derecho pueden crear, ver, modificar y eliminar entidades definidas en tiempo de ejecución de este tipo en todas las organizaciones.
Modificar	Derecho Editar: Tipo y entrada de ACL >= Cambiar	Los usuarios con este derecho y una ACL de nivel de modificación pueden crear, ver y modificar entidades definidas en tiempo de ejecución de este tipo.
Eliminar	Derecho Control total de administración: Tipo	Los usuarios con este derecho pueden crear, ver, modificar y eliminar entidades definidas en tiempo de ejecución de este tipo en todas las organizaciones.
Eliminar	Derecho Control total: Tipo y entrada de ACL = Control total	Los usuarios con este derecho y una ACL de nivel de control total pueden crear, ver, modificar y eliminar entidades definidas en tiempo de ejecución de este tipo.

Compartir entidades definidas con otro usuario

Si un administrador del sistema publicó el paquete de derechos de un tipo de entidad definida y le otorgó a usted acceso de ReadWrite o FullControl, o si usted es el propietario de la entidad definida, puede compartir el acceso a esas entidades con otros usuarios.

Asigne el derecho Ver: Tipo, Editar: Tipo o Control total: Tipo del paquete a las funciones de usuario que desee que tengan un nivel específico de acceso a la entidad definida.

Nota: Debe iniciar sesión como administrador del sistema o administrador de la organización para asignar derechos.

Por ejemplo, si desea que los usuarios con la función tkg_viewer vean los clústeres de Tanzu Kubernetes dentro de la organización, debe agregar el derecho Ver: Clúster invitado de Tanzu Kubernetes a la función. Si desea que los usuarios con la función tkg_author creen, vean y modifiquen clústeres de Tanzu Kubernetes dentro de esta organización, agregue Editar: Clúster invitado de Tanzu Kubernetes a esa función. Si desea que los usuarios con la función tkg_admin creen, vean, modifiquen y eliminen clústeres de Tanzu Kubernetes dentro de esta organización, agregue el derecho Control total: Clúster invitado de Tanzu Kubernetes a la función.
Otorgue a un usuario específico una lista de control de acceso (ACL) a través de la siguiente llamada de REST API.
```
POST https://[address]/cloudapi/1.0.0/entities/urn:vcloud:entity:[vendor]:[type name]:[version]:[UUID]/accessControls
 {
   "grantType" : "MembershipAccessControlGrant",
   "accessLevelId" : "urn:vcloud:accessLevel:[Access_level]",
   "memberId" : "urn:vcloud:user:[User_ID]"
 }
```
Access_level debe ser ReadOnly, ReadWrite o FullControl. User_ID debe ser el identificador del usuario al que desea conceder acceso a la entidad definida.

Debe tener acceso de ReadWrite o FullControl a una entidad para conceder acceso a la ACL a esa entidad.

Los usuarios con la función tkg_viewer, que se describe en el ejemplo, no pueden conceder acceso a la ACL. Los usuarios con la función tkg_author o tkg_admin pueden compartir el acceso a una entidad VMWARE:TKGCLUSTER con usuarios que tengan la función tkg_viewer, tkg_author o tkg_admin, al concederles acceso a la ACL a través de la solicitud de API.

Los usuarios con el derecho Control total: Clúster invitado de Tanzu Kubernetes pueden conceder acceso a la ACL a cualquier entidad VMWARE:TKGCLUSTER.

También puede utilizar llamadas de REST API para revocar el acceso o para ver quién tiene acceso a la entidad. Consulte la VMware Cloud Director documentación de REST API.

Cambiar el propietario de una entidad definida

El propietario de una entidad definida o un usuario con el derecho Control total de administración: Tipo puede transferir la propiedad a otro usuario actualizando el modelo de entidad definido y cambiando el campo de propietario por el ID del nuevo propietario.

Trabajar con definiciones de entidad personalizada

Las definiciones de entidad personalizada de VMware Cloud Director son tipos de objeto enlazados a tipos de objeto de VMware Aria Automation Orchestrator. Los usuarios en una organización de VMware Cloud Director pueden poseer, administrar y cambiar dichos tipos en función de sus necesidades. Mediante la ejecución de los servicios, los usuarios de la organización pueden crear instancias de las entidades personalizadas y aplicar acciones a las instancias de los objetos.