Les fournisseurs de services peuvent utiliser VMware Cloud DirectorAPI pour créer des extensions qui fournissent des capacités VMware Cloud Director supplémentaires aux locataires. Si un fournisseur de services vous a accordé l'accès, vous pouvez gérer des entités définies et les partager avec d'autres locataires.
Les fournisseurs de services peuvent créer des types d'entités définies lors de l'exécution afin de permettre aux extensions de stocker et manipuler des informations spécifiques de l'extension dans VMware Cloud Director. Par exemple, une extension Kubernetes peut stocker des informations sur les clusters Kubernetes qu'elle gère dans des entités définies au moment de l'exécution. L'extension peut ensuite fournir des API d'extension afin de gérer ces clusters à l'aide des informations provenant des entités définies lors de l'exécution. Si le fournisseur de services partage avec vous le bundle de droits pour le type d'entité définie lors de l'exécution, vous pouvez créer des instances du type.
Lorsque vous créez une entité définie dans une organisation de locataires, vous ne pouvez pas partager l'entité définie avec des locataires d'une autre organisation. Vous ne pouvez pas remplacer le propriétaire d'une entité définie par un utilisateur d'une autre organisation.
Accéder aux entités définies
Deux mécanismes complémentaires contrôlent l'accès aux entités d'exécution définies.
-
Droits : lorsqu'un fournisseur de services crée un type d'entité définie lors de l'exécution, il crée un bundle de droits pour ce type. Un fournisseur de services doit vous attribuer un ou plusieurs des cinq droits spécifiques au type suivants : Afficher : TYPE, Modifier : TYPE, Contrôle total : TYPE, Vue administrateur : TYPE et Contrôle total de l'administrateur : TYPE.
Les droits Afficher : TYPE, Modifier : TYPE et Contrôle total : TYPE fonctionnent uniquement en combinaison avec une entrée de liste ACL.
- Liste de contrôle d'accès (ACL) : la table ACL contient des entrées définissant l'accès des utilisateurs à des entités spécifiques dans le système. Elle fournit un niveau de contrôle supplémentaire sur les entités. Par exemple, lorsqu'un droit Modifier : TYPE spécifie qu'un utilisateur peut modifier des entités auxquelles il a accès, la table ACL définit les entités auxquelles l'utilisateur a accès.
Opération d'entité | Option | Description | |
---|---|---|---|
Lire | Droit Vue administrateur : TYPE | Les utilisateurs disposant de ce droit peuvent voir toutes les entités définies lors de l'exécution de ce type dans une organisation. | |
Droit Afficher : TYPE et entrée de liste ACL >= Afficher | Les utilisateurs disposant de ce droit et d'une liste ACL de niveau lecture peuvent afficher les entités définies lors de l'exécution de ce type. | ||
Modifier | Droit Contrôle total de l'administrateur : TYPE | Les utilisateurs disposant de ce droit peuvent créer, afficher, modifier et supprimer des entités définies lors de l'exécution de ce type dans toutes les organisations. | |
Droit Modifier : TYPE et entrée de liste ACL >= Modifier | Les utilisateurs disposant de ce droit et d'une liste ACL de niveau modification peuvent créer, afficher et modifier les entités définies lors de l'exécution de ce type. | ||
Supprimer | Droit Contrôle total de l'administrateur : TYPE | Les utilisateurs disposant de ce droit peuvent créer, afficher, modifier et supprimer des entités définies lors de l'exécution de ce type dans toutes les organisations. | |
Droit Contrôle total : TYPE et entrée de liste ACL = Contrôle total | Les utilisateurs disposant de ce droit et d'une liste ACL de niveau contrôle total peuvent créer, afficher, modifier et supprimer les entités définies lors de l'exécution de ce type. |
Partage d'entités définies avec un autre utilisateur
Si un administrateur système a publié le bundle de droits pour un type d'entité définie et vous a accordé l'accès ReadWrite
ou FullControl
, ou si vous êtes le propriétaire de l'entité définie, vous pouvez partager l'accès à ces entités avec d'autres utilisateurs.
-
Attribuez le droit Afficher : TYPE, Modifier : TYPE ou Contrôle total : TYPE du bundle aux rôles d'utilisateur pour lesquels vous souhaitez attribuer le niveau d'accès spécifique à l'entité définie.
Note : Vous devez être connecté en tant qu' administrateur système ou administrateur d'organisation pour attribuer des droits.Par exemple, si vous souhaitez que les utilisateurs disposant du rôle tkg_viewer puissent afficher les clusters Tanzu Kubernetes au sein de l'organisation, vous devez ajouter le droit Afficher : Cluster invité Tanzu Kubernetes à ce rôle. Si vous souhaitez que les utilisateurs disposant du rôle tkg_author puissent créer, afficher et modifier des clusters Tanzu Kubernetes au sein de cette organisation, ajoutez le droit Modifier : Cluster invité Tanzu Kubernetes à ce rôle. Si vous souhaitez que les utilisateurs disposant du rôle tkg_admin puissent créer, afficher, modifier et supprimer des clusters Tanzu Kubernetes au sein de cette organisation, ajoutez le droit Contrôle total : Cluster invité Tanzu Kubernetes à ce rôle.
-
Accordez à l'utilisateur spécifique une liste de contrôle d'accès (ACL) en effectuant l'appel d'API REST suivant.
POST https://[address]/cloudapi/1.0.0/entities/urn:vcloud:entity:[vendor]:[type name]:[version]:[UUID]/accessControls { "grantType" : "MembershipAccessControlGrant", "accessLevelId" : "urn:vcloud:accessLevel:[Access_level]", "memberId" : "urn:vcloud:user:[User_ID]" }
La variable Niveau_d'accès doit être
ReadOnly
,ReadWrite
ouFullControl
. La variable ID_utilisateur doit être l'ID de l'utilisateur auquel vous souhaitez accorder l'accès à l'entité définie.Vous devez disposer d'un accès
ReadWrite
ouFullControl
à une entité pour accorder l'accès à la liste ACL pour cette entité.Les utilisateurs disposant du rôle tkg_viewer, décrit dans l'exemple, ne peuvent pas accorder l'accès à la liste ACL. Les utilisateurs disposant du rôle tkg_author ou tkg_admin peuvent partager l'accès à une entité VMWARE:TKGCLUSTER avec les utilisateurs qui disposent du rôle tkg_viewer, tkg_author ou tkg_admin en leur accordant l'accès à la liste ACL à l'aide de la demande d'API.
Les utilisateurs disposant du droit Contrôle total de l'administrateur : Cluster invité Tanzu Kubernetes peuvent accorder l'accès à la liste ACL à n'importe quelle entité VMWARE:TKGCLUSTER.
Vous pouvez également utiliser des appels d'API REST pour révoquer l'accès ou pour afficher les utilisateurs qui ont accès à l'entité. Reportez-vous à la documentation de VMware Cloud Director REST API à l'adresse https://developer.vmware.com/.
Modification du propriétaire d'une entité définie
Le propriétaire d'une entité définie ou un utilisateur disposant du droit Contrôle total de l'administrateur : TYPE peut transférer la propriété à un autre utilisateur en mettant à jour le modèle d'entité définie et en modifiant le champ Propriétaire avec l'ID du nouveau propriétaire.