Администратор облачных служб контролирует, какие задачи могут выполняться пользователями в VMware Aria Automation. В зависимости от целей управления и сфер ответственности в группе разработчиков приложений существуют различные способы настройки ролей пользователей для поддержки этих целей.
Следующие примеры для Automation Assembler и Automation Service Broker построены на трех вариантах использования. Эти примеры содержат достаточное количество инструкций для демонстрации применения ролей пользователей.
Эти примеры использования предназначены для администратора облачных служб и администраторов служб.
Каждый последующий пример использования составлен на основе предыдущего. Даже если вы сразу готовы перейти к примеру 3, возможно, вам потребуется ознакомиться с примерами 1 и 2, чтобы лучше понять, почему следует настраивать роли указанным образом.
Задача этих примеров использования — показать применение ролей пользователей, а не предоставить подробную информацию о настройке инфраструктуры, управлении проектами, создании облачных шаблонов и работе с развертываниями.
Прежде чем начать, необходимо ознакомиться с уровнями ролей пользователей, настроенными администратором облачных служб в консоли VMware Aria Automation.
- Роли организации
Роли организации определяют, кто может иметь доступ к консоли.
Владельцу организации необходимо проследить, чтобы пользователям всех служб была назначена как минимум роль участника организации.
Роль Описание Владелец организации Администратор может добавлять пользователей, изменять роли пользователей и удалять пользователей из организации. Владелец управляет доступом пользователей к службам. Участник организации Обычный пользователь может войти в консоль организации. Чтобы пользователь мог получить доступ к службам, владелец организации назначает ему определенную роль службы. - Роли служб
Роли служб определяют, кто может иметь доступ к назначенным службам.
Владельцу организации необходимо проследить, чтобы всем пользователям, которым требуется доступ к службам, были назначены соответствующие роли. Роли определяют, какие действия пользователь может выполнять в каждой службе.
Табл. 1. Описание ролей службы Automation Assembler Роль Описание Администратор Assembler Пользователь должен иметь доступ для чтения и записи ко всему пользовательскому интерфейсу и ресурсам API. Это единственная роль пользователя, которая позволяет просматривать и выполнять все действия, в том числе добавлять облачные учетные записи, создавать новые проекты и назначать администратора проекта. Пользователь Assembler Пользователь, у которого нет роли администратора Assembler. В проекте Automation Assembler администратор добавляет пользователей в качестве участников, администраторов или обозревателей проекта. Администратор также может добавить администратора проекта.
Assembler Viewer Пользователь с правом чтения может просматривать сведения, но не может создавать, обновлять или удалять какие-либо значения. Эта роль разрешает «только чтение» во всех проектах во всех службах. Пользователи с ролью обозревателя могут видеть всю информацию, доступную администратору. Он не может выполнять никакие действия, пока не будет назначен в качестве администратора или участника проекта. Если пользователь связан с проектом, у него есть разрешения, связанные с ролью. Обозреватель проекта не может расширять свои разрешения так же, как администратор или участник.
Табл. 2. Описание ролей службы Service Broker Роль Описание Администратор Service Broker Должен иметь доступ для чтения и записи ко всему пользовательскому интерфейсу и ресурсам API. Это единственная роль пользователя, которая позволяет выполнять все задачи, в том числе создавать новые проекты и назначать администраторов проектов. Пользователь Service Broker Любой пользователь, у которого нет роли администратора Automation Service Broker. В проекте Automation Service Broker администратор добавляет пользователей в качестве участников, администраторов или обозревателей проекта. Администратор также может добавить администратора проекта.
Наблюдатель Service Broker Пользователь с правом чтения может просматривать сведения, но не может создавать, обновлять или удалять какие-либо значения. Эта роль разрешает «только чтение» во всех проектах во всех службах. Пользователи с ролью обозревателя могут видеть всю информацию, доступную администратору. Он не может выполнять никакие действия, пока не будет назначен в качестве администратора или участника проекта. Если пользователь связан с проектом, у него есть разрешения, связанные с ролью. Обозреватель проекта не может расширять свои разрешения так же, как администратор или участник.
Табл. 3. Описание ролей службы Pipelines Роль Описание Администратор Pipelines Пользователь должен иметь доступ для чтения и записи ко всему пользовательскому интерфейсу и ресурсам API. Это единственная роль пользователя, которая позволяет просматривать и выполнять все операции, включая создание проектов, интеграцию конечных точек, добавление триггеров, создание конвейеров и настраиваемых панелей управления, маркировку конечных точек и переменных как ресурсы с ограниченным доступом, запуск конвейеров, использующих такие ресурсы, а также запрашивать публикацию конвейеров в Automation Service Broker. Разработчик Pipelines Пользователь, который может работать с конвейерами, но не с конечными точками или переменными с ограниченным доступом. Если конвейер содержит конечную точку или переменную с ограниченным доступом, этот пользователь должен получить утверждение задачи конвейера, которая использует эту конечную точку или переменную. Исполнитель Pipelines Пользователь, который может запускать конвейеры и утверждать или отклонять задачи, выполняемые пользователями. Этот пользователь может возобновить, приостановить и отменить выполнение конвейера, но не может их изменить. Пользователь Pipelines Пользователь, у которого есть доступ к Automation Pipelines, но нет других прав в Automation Pipelines. Обозреватель Pipelines Пользователь, который имеет доступ с правами чтения для просмотра конвейеров, конечных точек, циклов выполнения конвейера и панелей управления, но не может создавать, обновлять или удалять их. Пользователь, у которого есть роль «Обозреватель службы», может видеть всю информацию, доступную администратору. Он не может выполнять никакие действия, пока не будет назначен в качестве администратора или участника проекта. Если пользователь связан с проектом, у него есть разрешения, связанные с ролью. Обозреватель проекта не может расширять свои разрешения так же, как администратор или участник. - Роли участников проекта
Членство в проекте определяет, какие ресурсы инфраструктуры и облачные шаблоны доступны пользователю.
Членство в проекте определяется в службе пользователем с ролью администратора службы. Администратор службы должен убедиться, что пользователям, которым необходим доступ к одному проекту или нескольким, назначены соответствующие роли на уровне каждого проекта.
Табл. 4. Роли в проекте Роль Описание Администратор проекта Администратор проекта может управлять своими проектами, создавать и развертывать облачные шаблоны, связанные с его проектами, а также управлять развертываниями проектов для всех участников проекта. Участник проекта Участник проекта может создавать и развертывать облачные шаблоны, связанные с соответствующими проектами, управлять собственными развертываниями, а также всеми общедоступными развертываниями. Наблюдатель проекта Обозреватель проекта — это участник проекта, который имеет доступ в режиме «только чтение» к ресурсам проекта, облачным шаблонам и развертываниям. - Настраиваемые роли
Automation Assembler создает настраиваемые роли для уточнения ролей участников и обозревателей.
Процедуры, описанные в этих примерах использования, предназначены для демонстрации применения ролей пользователей. Они не являются подробными или исчерпывающими процедурами по настройке VMware Aria Automation.
При настройке ролей следует помнить, что для пользователей, выполняющих операции API, применяются роли, назначаемые здесь.
Необходимые условия
- Убедитесь, что вам назначена роль владельца организации. При входе в консоль вам должна быть видна вкладка Управление идентификацией и доступом. Если это не так, обратитесь к владельцу организации.
- Убедитесь, что вам назначена роль администратора службы для разных служб. Если вы не уверены в своей роли, свяжитесь с владельцем организации.
- Убедитесь, что пользователи добавлены в VMware Aria Automation.
Пользователи Active Directory добавляются в ходе установки VMware Aria Automation.
- Подробный список задач и функций различных ролей см. в разделе Роли пользователей организаций и служб в vRealize Automation.