Code Stream には、ソフトウェア アプリケーションをリリースするパイプラインを操作するための適切な権限と承諾をユーザーに付与する方法がいくつか用意されています。

チームのメンバーごとにロールが割り当てられています。パイプライン、エンドポイント、ダッシュボード、およびリソースに制限ありとマークする機能に特定の権限を付与するロールです。

ユーザー操作と承認によって、パイプラインをいつ実行し、いつ停止して承認を得る必要があるかを制御できます。ロールによって、パイプラインを再開できるかどうかと、エンドポイントや変数に制限があるパイプラインを実行できるかどうかが決まります。

機密性のある情報を非表示および暗号化するには、シークレット変数を使用します。非表示にして暗号化して実行時に使用を制限する文字列、パスワード、URL については、制限付き変数を使用します。たとえば、パスワードや URL にシークレット変数を使用します。シークレット変数も制限付き変数も、パイプライン内の任意のタイプのタスクで使用できます。

Code Stream でのロールとは

Code Stream のロールによって、実行できるアクションとアクセスできる領域が決まります。たとえば、パイプラインの作成、更新、実行ができるロールがあります。あるいは、パイプラインの表示のみができる権限もあります。

制限付きを除くすべてのアクションは、このロールには、制限付きの変数およびエンドポイントを除くエンティティに対して作成、読み取り、更新、および削除アクションを実行する権限があることを意味します。

表 1. Code Stream でのサービス レベルおよびプロジェクト レベルのアクセス権限
Code Stream ロール
アクセス レベル Code Stream 管理者 Code Stream 開発者 Code Stream 実行者 Code Stream ビューア Code Stream ユーザー
Code Stream サービス レベルのアクセス すべてのアクション 制限付きを除くすべてのアクション 実行アクション 読み取り専用 なし
プロジェクト レベルのアクセス:プロジェクト管理者 すべてのアクション すべてのアクション すべてのアクション すべてのアクション すべてのアクション
プロジェクト レベルのアクセス:プロジェクト メンバー すべてのアクション 制限付きを除くすべてのアクション 制限付きを除くすべてのアクション 制限付きを除くすべてのアクション 制限付きを除くすべてのアクション
プロジェクト レベルのアクセス:プロジェクト閲覧者 すべてのアクション 制限付きを除くすべてのアクション 実行アクション 読み取り専用 読み取り専用

プロジェクト管理者ロールを持つユーザーは、自身がプロジェクト管理者になっているプロジェクトに対してすべてのアクションを実行できます。

プロジェクト管理者は、パイプライン、変数、エンドポイント、ダッシュボード、トリガの作成、読み取り、更新、および削除を実行できます。また、これらのリソースが、ユーザーがプロジェクト管理者になっているプロジェクトに含まれている場合は、制限付きのエンドポイントまたは変数が含まれているパイプラインを起動できます。

サービス閲覧者ロールを持つユーザーは、管理者が使用できるすべての情報を表示できます。これらのユーザーは、管理者によってプロジェクト管理者またはプロジェクト メンバーにされない限り、アクションを実行することはできません。プロジェクトに関連しているユーザーは、そのロールに関連する権限を持ちます。プロジェクト閲覧者は、管理者ロールまたはメンバー ロールとは異なり、権限が拡張されることはありません。このロールは、すべてのプロジェクトで読み取り専用です。

プロジェクトに読み取り権限が設定されている場合も、制限付きのリソースは表示されます。

  • 制限付きのエンドポイント(エンドポイント カードにロック アイコンが表示される)を表示するには、[構成] > [エンドポイント] の順にクリックします。
  • 制限付きの変数とシークレット変数([タイプ] 列に [制限付き] または [シークレット] と表示される)を表示するには、[構成] > [変数] の順にクリックします。
表 2. Code Stream サービス ロールの機能
ユーザー インターフェイスのコンテキスト 機能 Code Stream 管理者ロール Code Stream 開発者ロール Code Stream 実行者ロール Code Stream 閲覧者ロール Code Stream ユーザー ロール
[パイプライン]
パイプラインの表示 はい はい はい はい
パイプラインの作成 はい はい
パイプラインの実行 はい はい はい
エンドポイントや変数に制限があるパイプラインの実行 はい
パイプラインの更新 はい はい
パイプラインの削除 はい はい
[パイプラインの実行]
パイプラインの実行状況の表示 はい はい はい はい
パイプラインの実行の再開、一時停止、およびキャンセル はい はい はい
制限があるリソースの承認のために停止しているパイプラインの再開 はい
[カスタム統合]
カスタム統合の作成 はい はい
カスタム統合の読み取り はい はい はい はい
カスタム統合の更新 はい はい
[エンドポイント]
実行の表示 はい はい はい はい
実行の作成 はい はい
実行の更新 はい はい
実行の削除 はい はい
[リソースを制限付きとしてマーク]
エンドポイントまたは変数を制限付きとしてマーク はい
[ダッシュボード]
ダッシュボードの表示 はい はい はい はい
ダッシュボードの作成 はい はい
ダッシュボードの更新 はい はい
ダッシュボードの削除 はい はい

Code Stream のカスタム ロールと権限

Cloud Assembly で、パイプラインを使用するユーザーまで権限を拡張するカスタム ロールを作成できます。 Code Stream パイプラインのカスタムロールを作成する場合は、[パイプライン] 権限を 1 つ以上選択します。

このカスタム ロールが割り当てられるユーザーに必要な [パイプライン] 権限の最小数を選択します。

プロジェクトに割り当てられているユーザーに、そのプロジェクト内のロールが付与されていて、さらに 1 つ以上の [パイプライン] 権限を含むカスタム ロールが割り当てられている場合、ユーザーはこの権限で許可されているすべてのアクションを実行できます。たとえば、制限付き変数の作成、制限付きパイプラインの管理、カスタム統合の作成と管理などを行うことができます。

表 3. カスタム ロールに割り当てることができるパイプライン権限
パイプライン権限 Code Stream 管理者 Code Stream 開発者 Code Stream 実行者 Code Stream ビューア Code Stream ユーザー プロジェクト管理者 プロジェクト メンバー プロジェクト閲覧者
パイプラインの管理 はい はい はい はい
制限付きパイプラインの管理 はい はい
カスタム統合の管理 はい はい
パイプラインの実行 はい はい はい はい はい
制限付きパイプラインの実行 はい はい
実行の管理 はい はい
読み取り。この権限は表示されません。 はい はい はい はい はい はい はい
表 4. カスタム ロールでパイプライン権限を使用する方法
権限 実行できる操作
パイプラインの管理
  • パイプラインを作成、更新、削除、クローン作成します。
  • パイプラインを VMware Service Broker にリリース/リリース解除します。
  • クラウド テンプレートを作成、更新、削除します。
  • 通常の変数とシークレット変数を作成、更新、削除します。
  • Gerrit リスナーを作成、クローン作成、更新、削除します。
  • Gerrit リスナーを接続および切断します。
  • Gerrit トリガを作成、クローン作成、更新、削除します。
  • Git webhook を作成、更新、削除します。
  • Docker webhook を作成、更新、削除します。
  • スマート パイプライン テンプレートを使用してパイプラインを作成します。
  • YAML からパイプラインをインポートし、YAML にエクスポートします。
  • カスタム ダッシュボードを作成、更新、削除します。
  • すべてのカスタム統合を読み取ります。
  • 制限付きのすべてのエンドポイントおよび変数を読み取りますが、それらの値を表示することはできません。
制限付きパイプラインの管理
  • クラウド テンプレートを作成、更新、削除します。
  • エンドポイントに制限付きとマークして、制限付きエンドポイントを更新し、削除します。
  • 通常の変数とシークレット変数を作成、更新、削除します。
  • 制限付き変数を作成、更新、削除します。
  • パイプラインの管理で使用できるすべての権限。
カスタム統合の管理
  • カスタム統合を作成および更新します。
  • カスタム統合のバージョン管理とリリースを行います。
  • カスタム統合バージョンを削除および廃止します。
  • カスタム統合を削除します。
パイプラインの実行
  • パイプラインを実行します。
  • パイプラインの実行を一時停止、再開、キャンセルします。
  • パイプラインの実行を再実行します。
  • Gerrit トリガ イベントを再開、再実行、手動でトリガします。
  • ユーザー操作を承認します。ユーザー操作のバッチ承認を実行できます。
制限付きパイプラインの実行
  • パイプラインを実行します。
  • パイプラインの実行を一時停止、再開、キャンセル、削除します。
  • パイプラインの実行を再実行します。
  • 稼動中のパイプラインの実行を同期します。
  • 稼動中のパイプラインの実行を強制的に削除します。
  • Gerrit トリガ イベントを再開、再実行、削除、手動でトリガします。
  • 制限された項目を解決して、パイプラインの実行を続行します。
  • ユーザー コンテキストを切り替えて、ユーザー操作タスクの承認後にパイプラインの実行を続行します。
  • パイプラインの実行で使用できるすべての権限。
実行の管理
  • パイプラインを実行します。
  • パイプラインの実行を一時停止、再開、キャンセル、削除します。
  • パイプラインの実行を再実行します。
  • Gerrit トリガ イベントを再開、再実行、削除、手動でトリガします。
  • パイプラインの実行で使用できるすべての権限。

カスタム ロールには、権限の組み合わせを含めることができます。これらの権限は、リソースが制限されているかどうかに関係なく、パイプラインの管理や実行をユーザーに許可する機能グループ別に編成されています。これらの権限は、各ロールが Code Stream で実行できるすべての機能を表しています。

たとえば、カスタム ロールを作成し、[制限付きパイプラインの管理] 権限を含めると、 Code Stream 開発者ロールを持つユーザーは次のことが可能になります。

  • クラウド テンプレートを作成、更新、削除します。
  • エンドポイントに制限付きとマークして、制限付きエンドポイントを更新し、削除します。
  • 通常の変数とシークレット変数を作成、更新、削除します。
  • 制限付き変数を作成、更新、削除します。
表 5. カスタム ロールにおけるパイプライン権限の組み合わせの例
カスタム ロールに割り当てられている権限の数 統合された権限の例 この組み合わせの使用方法
単一の権限 [パイプラインの実行]
2 つの権限 [パイプラインの管理][パイプラインの実行]
3 つの権限 [パイプラインの管理][パイプラインの実行]、および[制限付きパイプラインの実行]
[パイプラインの管理][カスタム統合の管理]、および[制限付きパイプラインの実行]

この組み合わせは Code Stream 開発者ロールに適用されることがありますが、ユーザーがメンバーになっているプロジェクトに限定されます。
[パイプラインの管理][ カスタム統合の管理]、および [実行の管理]

この組み合わせは Code Stream 管理者ロールに適用されることがありますが、ユーザーがメンバーになっているプロジェクトに限定されます。
[パイプラインの管理][制限付きパイプラインの管理]、および [カスタム統合の管理] この組み合わせにより、ユーザーには完全な権限が付与され、 Code Stream のすべての要素を作成および削除できるようになります。

管理者ロールが付与されている場合

管理者は、カスタム統合、エンドポイント、変数、トリガ、パイプライン、およびダッシュボードを作成できます。

プロジェクトを使用すると、パイプラインからインフラストラクチャ リソースにアクセスできます。管理者は、ユーザーがパイプライン、エンドポイント、ダッシュボードをグループ化できるようにプロジェクトを作成します。ユーザーは、パイプラインでプロジェクトを選択します。各プロジェクトには、ロールが割り当てられた管理者とユーザーが含まれます。

管理者ロールがある場合は、エンドポイントおよび変数を制限があるリソースとしてマークし、制限があるリソースを使用しているパイプラインを実行できます。管理者以外のユーザーが制限付きのエンドポイントまたは変数を含むパイプラインを実行すると、制限付きの変数が使用されているタスクでパイプラインが停止し、管理者はパイプラインを再開する必要があります。

管理者は、パイプラインを vRealize Automation Service Broker で公開するように申請することもできます。

開発者ロールが付与されている場合

管理者と同様にパイプラインを操作できますが、制限があるエンドポイントや変数を使用することはできません。

制限付きのエンドポイントまたは変数を使用するパイプラインを実行する場合、パイプラインは、制限されたリソースを使用するタスクまでしか実行されません。その後、パイプラインは停止し、 Code Stream 管理者またはプロジェクト管理者が再開する必要があります。

ユーザー ロールが付与されている場合

Code Stream にはアクセスできますが、他のロールによって提供される権限はありません。

閲覧者ロールが付与されている場合

パイプライン、エンドポイント、パイプラインの実行、ダッシュボード、カスタム統合、トリガなど、管理者に表示されるものと同じリソースが表示されますが、それらを作成、更新、または削除することはできません。アクションを実行するには、閲覧者ロールにプロジェクト管理者ロールまたはプロジェクト メンバーロールも付与する必要があります。

閲覧者ロールを持つユーザーは、プロジェクトを表示できます。また、制限付きエンドポイントと制限付き変数も表示できますが、これらの詳細を表示することはできません。

実行者ロールが付与されている場合

パイプラインを実行し、ユーザー操作タスクに対してアクションを実行できます。また、パイプラインの実行の再開、一時停止、キャンセルも可能です。ただし、パイプラインを変更することはできません。

ロールの割り当ておよび更新方法

他のユーザーにロールを割り当てたり更新するには、管理者である必要があります。

  1. vRealize Automation で アクティブなユーザーとそのロールを表示するには、右上にある 9 つのドットをクリックします。
  2. [ID およびアクセス権の管理] をクリックします。

    [VMware Cloud Services] ペイン内に ID とアクセス管理 画面が開き、ユーザーとそのロールが表示されます。

  3. ユーザー名とロールを表示するには、[アクティブなユーザー] をクリックします。

    ID とアクセス管理 画面にユーザー名、メール アドレス、組織ロール、サービス ロールが表示されます。

  4. ユーザーへのロールの追加、またはロールの変更をするには、ユーザー名の横にあるチェックボックスをクリックし、[ロールの編集] をクリックします。
  5. ユーザー ロールを追加または変更するときに、サービスへのアクセス権を追加することもできます。
  6. 変更を保存するには、[保存] をクリックします。