Следующие примеры для Automation Assembler и Automation Service Broker построены на трех вариантах использования. Эти примеры содержат достаточное количество инструкций для демонстрации применения ролей пользователей.

Эти примеры использования предназначены для администратора облачных служб и администраторов служб.

Каждый последующий пример использования составлен на основе предыдущего. Даже если вы сразу готовы перейти к примеру 3, возможно, вам потребуется ознакомиться с примерами 1 и 2, чтобы лучше понять, почему следует настраивать роли указанным образом.

Задача этих примеров использования — показать применение ролей пользователей, а не предоставить подробную информацию о настройке инфраструктуры, управлении проектами, создании облачных шаблонов и работе с развертываниями.

Прежде чем начать, необходимо ознакомиться с уровнями ролей пользователей, настроенными администратором облачных служб в консоли VMware Aria Automation.

• Роли организации

  Роли организации определяют, кто может иметь доступ к консоли.

  Владельцу организации необходимо проследить, чтобы пользователям всех служб была назначена как минимум роль участника организации.

  Роль	Описание
  Владелец организации	Администратор может добавлять пользователей, изменять роли пользователей и удалять пользователей из организации. Владелец управляет доступом пользователей к службам.
  Участник организации	Обычный пользователь может войти в консоль организации. Чтобы пользователь мог получить доступ к службам, владелец организации назначает ему определенную роль службы.

• Роли служб

  Роли служб определяют, кто может иметь доступ к назначенным службам.

  Владельцу организации необходимо проследить, чтобы всем пользователям, которым требуется доступ к службам, были назначены соответствующие роли. Роли определяют, какие действия пользователь может выполнять в каждой службе.

  Табл. 1. Описание ролей службы Automation Assembler

  Роль	Описание
  Администратор Assembler	Пользователь должен иметь доступ для чтения и записи ко всему пользовательскому интерфейсу и ресурсам API. Это единственная роль пользователя, которая позволяет просматривать и выполнять все действия, в том числе добавлять облачные учетные записи, создавать новые проекты и назначать администратора проекта.
  Пользователь Assembler	Пользователь, у которого нет роли администратора Assembler. В проекте Automation Assembler администратор добавляет пользователей в качестве участников, администраторов или обозревателей проекта. Администратор также может добавить администратора проекта.
  Assembler Viewer	Пользователь с правом чтения может просматривать сведения, но не может создавать, обновлять или удалять какие-либо значения. Эта роль разрешает «только чтение» во всех проектах во всех службах. Пользователи с ролью обозревателя могут видеть всю информацию, доступную администратору. Он не может выполнять никакие действия, пока не будет назначен в качестве администратора или участника проекта. Если пользователь связан с проектом, у него есть разрешения, связанные с ролью. Обозреватель проекта не может расширять свои разрешения так же, как администратор или участник.

  Табл. 2. Описание ролей службы Service Broker

  Роль	Описание
  Администратор Service Broker	Должен иметь доступ для чтения и записи ко всему пользовательскому интерфейсу и ресурсам API. Это единственная роль пользователя, которая позволяет выполнять все задачи, в том числе создавать новые проекты и назначать администраторов проектов.
  Пользователь Service Broker	Любой пользователь, у которого нет роли администратора Automation Service Broker. В проекте Automation Service Broker администратор добавляет пользователей в качестве участников, администраторов или обозревателей проекта. Администратор также может добавить администратора проекта.
  Наблюдатель Service Broker	Пользователь с правом чтения может просматривать сведения, но не может создавать, обновлять или удалять какие-либо значения. Эта роль разрешает «только чтение» во всех проектах во всех службах. Пользователи с ролью обозревателя могут видеть всю информацию, доступную администратору. Он не может выполнять никакие действия, пока не будет назначен в качестве администратора или участника проекта. Если пользователь связан с проектом, у него есть разрешения, связанные с ролью. Обозреватель проекта не может расширять свои разрешения так же, как администратор или участник.

  Табл. 3. Описание ролей службы Pipelines

  Роль	Описание
  Администратор Pipelines	Пользователь должен иметь доступ для чтения и записи ко всему пользовательскому интерфейсу и ресурсам API. Это единственная роль пользователя, которая позволяет просматривать и выполнять все операции, включая создание проектов, интеграцию конечных точек, добавление триггеров, создание конвейеров и настраиваемых панелей управления, маркировку конечных точек и переменных как ресурсы с ограниченным доступом, запуск конвейеров, использующих такие ресурсы, а также запрашивать публикацию конвейеров в Automation Service Broker.
  Разработчик Pipelines	Пользователь, который может работать с конвейерами, но не с конечными точками или переменными с ограниченным доступом. Если конвейер содержит конечную точку или переменную с ограниченным доступом, этот пользователь должен получить утверждение задачи конвейера, которая использует эту конечную точку или переменную.
  Исполнитель Pipelines	Пользователь, который может запускать конвейеры и утверждать или отклонять задачи, выполняемые пользователями. Этот пользователь может возобновить, приостановить и отменить выполнение конвейера, но не может их изменить.
  Пользователь Pipelines	Пользователь, у которого есть доступ к Automation Pipelines, но нет других прав в Automation Pipelines.
  Обозреватель Pipelines	Пользователь, который имеет доступ с правами чтения для просмотра конвейеров, конечных точек, циклов выполнения конвейера и панелей управления, но не может создавать, обновлять или удалять их. Пользователь, у которого есть роль «Обозреватель службы», может видеть всю информацию, доступную администратору. Он не может выполнять никакие действия, пока не будет назначен в качестве администратора или участника проекта. Если пользователь связан с проектом, у него есть разрешения, связанные с ролью. Обозреватель проекта не может расширять свои разрешения так же, как администратор или участник.

• Роли участников проекта

  Членство в проекте определяет, какие ресурсы инфраструктуры и облачные шаблоны доступны пользователю.

  Членство в проекте определяется в службе пользователем с ролью администратора службы. Администратор службы должен убедиться, что пользователям, которым необходим доступ к одному проекту или нескольким, назначены соответствующие роли на уровне каждого проекта.

  Табл. 4. Роли в проекте

  Роль	Описание
  Администратор проекта	Администратор проекта может управлять своими проектами, создавать и развертывать облачные шаблоны, связанные с его проектами, а также управлять развертываниями проектов для всех участников проекта.
  Участник проекта	Участник проекта может создавать и развертывать облачные шаблоны, связанные с соответствующими проектами, управлять собственными развертываниями, а также всеми общедоступными развертываниями.
  Наблюдатель проекта	Обозреватель проекта — это участник проекта, который имеет доступ в режиме «только чтение» к ресурсам проекта, облачным шаблонам и развертываниям.

• Настраиваемые роли

  Automation Assembler создает настраиваемые роли для уточнения ролей участников и обозревателей.

Процедуры, описанные в этих примерах использования, предназначены для демонстрации применения ролей пользователей. Они не являются подробными или исчерпывающими процедурами по настройке VMware Aria Automation.

При настройке ролей следует помнить, что для пользователей, выполняющих операции API, применяются роли, назначаемые здесь.