Управление пользовательским доступом и утверждениями в службе Automation Pipelines

Служба Automation Pipelines включает в себя несколько процедур, позволяющих убедиться, что все пользователи прошли проверку подлинности и дали согласие на работу с конвейерами, осуществляющими выпуск программных приложений.

Каждому участнику рабочей группы назначается роль, которая имеет определенные разрешения для работы с конвейерами, конечными точками и панелями управления, а также дает возможность ограничивать доступ к ресурсам.

Пользовательские операции и утверждения позволяют выявлять случаи, в которых работа конвейера должна быть приостановлена для получения утверждения. Роли пользователей определяют, могут ли они возобновить работу конвейера, а также запускать конвейеры, содержащие конечные точки и переменные с ограниченным доступом.

Используйте секретные переменные для скрытия и шифрования конфиденциальной информации. Используйте переменную с ограниченным доступом для строк, паролей и URL-адресов, которые должны быть скрыты и зашифрованы, а также для ограничения возможностей использования элементов в циклах выполнения. Например, для пароля или URL-адреса. Секретные переменные и переменные с ограниченным доступом можно использовать в любом типе задач конвейера.

Роли в службе Automation Pipelines

Роли, назначаемые пользователям в службе Automation Pipelines, определяют, какие действия они могут выполнять и к каким областям имеют доступ. Например, роль может предоставлять право на создание, обновление и запуск конвейеров. Либо права роли могут сводиться исключительно к просмотру конвейеров.

Все, за исключением действий с ограниченным доступом: в этой роли разрешено выполнять действия по созданию, чтению, обновлению и удалению объектов, кроме переменных и конечных точек с ограниченным доступом.

Табл. 1. Разрешения для доступа на уровне служб и проектов в Automation Pipelines
	Роли Automation Pipelines
Уровни доступа	Администратор Automation Pipelines	Разработчик Automation Pipelines	Исполнитель Automation Pipelines	Обозреватель Automation Pipelines	Пользователь Automation Pipelines
Доступ на уровне службы Automation Pipelines	Все действия	Все действия, кроме действий с ограниченным доступом	Действия при выполнении	Только для чтения	Нет
Доступ на уровне проекта: администратор проекта	Все действия	Все действия	Все действия	Все действия	Все действия
Доступ на уровне проекта: участник проекта	Все действия	Все действия, кроме действий с ограниченным доступом	Все действия, кроме действий с ограниченным доступом	Все действия, кроме действий с ограниченным доступом	Все действия, кроме действий с ограниченным доступом
Доступ на уровне проекта: обозреватель проекта	Все действия	Все действия, кроме действий с ограниченным доступом	Действия при выполнении	Только для чтения	Только для чтения

Пользователи с ролью администратора проекта могут выполнять все действия над проектами, в которых они являются администраторами.

Администратор проекта может создавать, читать, обновлять и удалять конвейеры, переменные, конечные точки, панели управления, триггеры и запускать конвейер, который включает в себя конечные точки или переменные с ограниченным доступом, если эти ресурсы принадлежат проекту, администратором которого является пользователь.

Пользователи, у которых есть роль «Обозреватель службы», могут видеть всю информацию, доступную администратору. Они не могут выполнять никаких действий, пока администратор не сделает их администраторами или участниками проекта. Если пользователь связан с проектом, у него есть разрешения, связанные с ролью. Обозреватель проекта не может расширять свои разрешения так же, как администратор или участник. Эта роль доступна только для чтения во всех проектах.

Если у вас есть разрешения на чтение в проекте, вы все равно можете видеть ресурсы с ограниченным доступом.

Чтобы просмотреть конечные точки с ограниченным доступом, на карточке которых отображается значок блокировки, щелкните Настройка > Конечные точки.
Чтобы просмотреть секретные переменные и переменные с ограниченным доступом, для которых в столбце Тип указаны значения RESTRICTED или SECRET, щелкните Настройка > Переменные.

Табл. 2. Возможности роли службы Automation Pipelines
Контекст пользовательского интерфейса	Возможности	Automation Pipelines Роль администратора	Automation Pipelines Роль разработчика	Automation Pipelines Роль исполнителя	Automation Pipelines Роль обозревателя
Конвейеры
	Просмотр конвейеров	Да	Да	Да	Да
	Создание конвейеров	Да	Да
	Запуск конвейеров	Да	Да	Да
	Запуск работы конвейеров, содержащих конечные точки и переменные с ограниченным доступом	Да
	Обновление конвейеров	Да	Да
	Удаление конвейеров	Да	Да
Циклы выполнения конвейера
	Просмотр циклов выполнения конвейера	Да	Да	Да	Да
	Возобновление, приостановка и отмена циклов выполнения конвейера	Да	Да	Да
	Возобновление работы конвейеров, приостановленных для утверждения использования ресурсов с ограниченным доступом	Да
Настраиваемые интеграции
	Создание настраиваемых интеграций	Да	Да
	Чтение настраиваемых интеграций	Да	Да	Да	Да
	Обновление настраиваемых интеграций	Да	Да
Конечные точки
	Просмотр циклов выполнения	Да	Да	Да	Да
	Создание циклов выполнения	Да	Да
	Обновление циклов выполнения	Да	Да
	Удаление циклов выполнения	Да	Да
Пометить как ресурсы с ограниченным доступом
	Пометка конечной точки или переменной как ресурса с ограниченным доступом	Да
Панели управления
	Просмотр панелей управления	Да	Да	Да	Да
	Создание панелей управления	Да	Да
	Обновление панелей управления	Да	Да
	Удаление панелей управления	Да	Да

Настраиваемые роли и разрешения в Automation Pipelines

Для пользователей, работающих с конвейерами, можно создавать настраиваемые роли в Automation Assembler, расширяющие их права. При создании настраиваемой роли для конвейеров Automation Pipelines необходимо выбрать одно или несколько разрешений для конвейера.

Для пользователей, которым будет назначена эта настраиваемая роль, выберите минимальное количество разрешений для конвейера.

Если пользователю, которому назначен проект и задана роль в этом проекте, назначается настраиваемая роль, которая включает в себя одно или несколько разрешений для конвейера, он может выполнять все действия, предусмотренные этими разрешениями. Например, он может создавать переменные с ограниченным доступом, управлять конвейерами с ограниченным доступом, создавать настраиваемые интеграции и управлять ими, а также многое другое.

Табл. 3. Разрешения для конвейера, которые можно назначать настраиваемым ролям
Разрешение для конвейера	Администратор Automation Pipelines	Разработчик Automation Pipelines	Исполнитель Automation Pipelines	Обозреватель Automation Pipelines	Администратор проекта	Участник проекта	Наблюдатель проекта
Управление конвейерами	Да	Да			Да	Да
Управление конвейерами с ограниченным доступом	Да				Да
Управление настраиваемыми интеграциями	Да	Да
Выполнение конвейеров	Да	Да	Да		Да	Да
Выполнение конвейеров с ограниченным доступом	Да				Да
Управление циклами выполнения	Да				Да
Чтение. Это разрешение не отображается.	Да	Да	Да	Да	Да	Да	Да

Табл. 4. Как можно использовать разрешения для конвейера с настраиваемыми ролями
Разрешение	Возможные действия
Управление конвейерами	Создание, обновление, удаление, клонирование конвейеров. Выпуск конвейеров в Automation Service Broker и отмена выпуска. Создание, обновление и удаление конечных точек. Создание, обновление и удаление обычных и секретных переменных. Создание, клонирование, обновление и удаление прослушивателя Gerrit. Подключение и отключение прослушивателя Gerrit. Создание, клонирование, обновление и удаление триггера Gerrit. Создание, обновление и удаление веб-перехватчика Git. Создание, обновление и удаление веб-перехватчика Docker. Использование смарт-шаблонов конвейера для создания конвейеров. Импорт конвейеров из YAML и экспорт их в YAML. Создание, обновление или удаление настраиваемых панелей управления. Чтение всех настраиваемых интеграций Чтение всех конечных точек и переменных с ограниченным доступом; просмотр их значений не разрешен.
Управление конвейерами с ограниченным доступом	Создание, обновление и удаление конечных точек. Маркировка конечных точек как точек с ограниченным доступом, их обновление и удаление. Создание, обновление и удаление обычных и секретных переменных. Создание, обновление и удаление переменных с ограниченным доступом. Все разрешения, которые можно использовать при управлении конвейерами.
Управление настраиваемыми интеграциями	Создание и обновление настраиваемых интеграций. Создание версии и выпуск настраиваемых интеграций. Удаление и объявление устаревшими версий настраиваемой интеграции. Удаление настраиваемых интеграций.
Выполнение конвейеров	Запустите конвейеры. Приостановка, возобновление и отмена выполнения конвейера. Перезапуск цикла выполнения конвейера. Возобновление, перезапуск и запуск вручную триггерного события Gerrit. Утверждение операции пользователя, возможность пакетного утверждения операций пользователей.
Выполнение конвейеров с ограниченным доступом	Запустите конвейеры. Приостановка, возобновление, отмена и удаление циклов выполнения конвейера. Перезапуск цикла выполнения конвейера. Синхронизация активного цикла выполнения конвейера. Принудительное удаление активного цикла выполнения конвейера. Возобновление, перезапуск, удаление и запуск вручную триггерного события Gerrit. Разрешение запрещенных элементов и продолжение выполнения конвейера. Переключение контекста пользователя и продолжение выполнения конвейера после утверждения задачи «Операция пользователя». Все разрешения, которые можно использовать при выполнении конвейеров.
Управление циклами выполнения	Запустите конвейеры. Приостановка, возобновление, отмена и удаление циклов выполнения конвейера. Перезапуск цикла выполнения конвейера. Возобновление, перезапуск, удаление и запуск вручную триггерного события Gerrit. Все разрешения, которые можно использовать при выполнении конвейеров.

Настраиваемые роли могут включать в себя комбинации разрешений. Такие разрешения организуются в виде групп возможностей, которые позволяют пользователям управлять конвейерами, содержащими или не содержащими ресурсы с ограниченным доступом, или выполнять их. Эти разрешения представляют все возможности, которые может выполнять каждая роль в Automation Pipelines.

Например, если создать настраиваемую роль и добавить разрешение с именем Управление конвейерами с ограниченным доступом, пользователи с ролью разработчика Automation Pipelines смогут выполнять следующие действия.

Создание, обновление и удаление конечных точек.
Маркировка конечных точек как точек с ограниченным доступом, их обновление и удаление.
Создание, обновление и удаление обычных и секретных переменных.
Создание, обновление и удаление переменных с ограниченным доступом.

Табл. 5. Примеры комбинаций разрешений для конвейера в настраиваемых ролях
Количество разрешений, назначенных настраиваемой роли	Примеры комбинированных разрешений	Использование этой комбинации
Одно разрешение	Выполнение конвейеров
Два разрешения	Управление конвейерами и Выполнение конвейеров
Три разрешения	Управление конвейерами, Выполнение конвейеров и Выполнение конвейеров с ограниченным доступом
	Управление конвейерами, Управление настраиваемыми интеграциями и Выполнение конвейеров с ограниченным доступом	Эта комбинация может применяться к роли «Разработчик Automation Pipelines», но только в проектах, в которых пользователь является участником.
	Управление конвейерами, Управление настраиваемыми интеграциями и Управление циклами выполнения	Это сочетание может применяться к роли «Администратор Automation Pipelines», но только в проектах, в которых пользователь является участником.
	Управление конвейерами, Управление конвейерами с ограниченным доступом и Управление настраиваемыми интеграциями	Эта комбинация предоставляет пользователю все разрешения, а также позволяет создавать и удалять любые элементы в Automation Pipelines.

Пользователям с ролью администратора

Администратор может создавать настраиваемые интеграции, конечные точки, переменные, триггеры, конвейеры и панели управления.

Проекты позволяют конвейерам получать доступ к ресурсам инфраструктуры. Администраторы создают проекты, чтобы пользователи могли объединять конвейеры, конечные точки и панели управления. Затем пользователи выбирают проект в конвейерах. В каждом проекте присутствуют администратор и пользователи с назначенными им ролями.

Пользователь с ролью администратора может ограничивать доступ к конечными точкам и переменным, а также запускать конвейеры, в которых используются ресурсы с ограниченным доступом. Если пользователь, не являющийся администратором, запускает конвейер, содержащий конечную точку или переменную с ограниченным доступом, выполнение остановится на задаче, в которой используется такая переменная, после чего работу конвейера должен будет возобновить администратор.

Администратор может также отправлять запрос на публикацию конвейеров в Automation Service Broker.

Пользователям с ролью разработчика

Разработчики могут работать с конвейерами так же, как и администраторы, но они не могут работать с конечными точками и переменными, доступ к котором ограничен.

При запуске конвейера, в котором используются конечные точки или переменные с ограниченным доступом, он выполняется только до задачи, в которой используется ресурс с ограниченным доступом. После этого он останавливается, и администратор Automation Pipelines или администратор проекта должен возобновить конвейер.

Роль пользователя

Можно пользоваться Automation Pipelines, но без прав, доступных в рамках других ролей.

Роль обозревателя

Можно просматривать те же ресурсы, которые видит администратор, например конвейеры, конечные точки, циклы выполнения конвейера, панели управления, настраиваемые интеграции и триггеры, но их нельзя создавать, обновлять или удалять. Для выполнения действий обозревателю должна быть также предоставлена роль администратора проекта или участника проекта.

Пользователи с ролью обозревателя могут просматривать проекты. Они также могут просматривать конечные точки и переменные с ограниченным доступом, но подробная информация о них остается недоступной.

Роль исполнителя

Можно запускать конвейеры и выполнять действия в рамках задач, связанных с пользовательскими операциями. Также можно возобновлять, приостанавливать и отменять выполнение конвейеров, но нельзя изменять конвейеры.

Назначение и обновление ролей

Чтобы назначать роли другим пользователям и обновлять их, требуются права администратора и владельца организации.

Дополнительные сведения о ролях см. в разделе Что такое роли пользователей VMware Aria Automation.

Для просмотра активных пользователей и их ролей в VMware Aria Automation нажмите расположенный справа вверху элемент с девятью точками.
Нажмите Управление идентификацией и доступом.
Отображается список активных пользователей. Чтобы добавить или изменить роли пользователя, установите флажок рядом с его именем и щелкните Изменить роли.
При добавлении или изменении ролей пользователей можно также добавлять доступ к службам.
Чтобы сохранить изменения, нажмите Сохранить.