Служба vRealize Automation Code Stream включает в себя несколько процедур, позволяющих убедиться, что все пользователи прошли проверку подлинности и дали согласие на работу с конвейерами, осуществляющими выпуск программных приложений.

Каждому участнику рабочей группы назначается роль, которая имеет определенные разрешения для работы с конвейерами, конечными точками и панелями управления, а также дает возможность ограничивать доступ к ресурсам.

Пользовательские операции и утверждения позволяют выявлять случаи, в которых работа конвейера должна быть приостановлена для получения утверждения. Роли пользователей определяют, могут ли они возобновить работу конвейера, а также запускать конвейеры, содержащие конечные точки и переменные с ограниченным доступом.

Используйте секретные переменные для скрытия и шифрования конфиденциальной информации. Используйте переменную с ограниченным доступом для строк, паролей и URL-адресов, которые должны быть скрыты и зашифрованы, а также для ограничения возможностей использования элементов в циклах выполнения. Например, для пароля или URL-адреса. Секретные переменные и переменные с ограниченным доступом можно использовать в любом типе задач конвейера.

Роли в службе vRealize Automation Code Stream

Роли, назначаемые пользователям в службе vRealize Automation Code Stream, определяют, какие действия они могут выполнять и к каким областям имеют доступ. Например, роль может предоставлять право на создание, обновление и запуск конвейеров. Либо права роли могут сводиться исключительно к просмотру конвейеров.

Все, за исключением действий с ограниченным доступом: в этой роли разрешено выполнять действия по созданию, чтению, обновлению и удалению объектов, кроме переменных и конечных точек с ограниченным доступом.

Табл. 1. Разрешения для доступа на уровне служб и проектов в vRealize Automation Code Stream
Роли vRealize Automation Code Stream
Уровни доступа Администратор Code Stream Разработчик Code Stream Исполнитель Code Stream Обозреватель Code Stream Пользователь Code Stream
Доступ на уровне службы vRealize Automation Code Stream Все действия Все действия, кроме действий с ограниченным доступом Действия при выполнении Только для чтения Нет
Доступ на уровне проекта: администратор проекта Все действия Все действия Все действия Все действия Все действия
Доступ на уровне проекта: участник проекта Все действия Все действия, кроме действий с ограниченным доступом Все действия, кроме действий с ограниченным доступом Все действия, кроме действий с ограниченным доступом Все действия, кроме действий с ограниченным доступом
Доступ на уровне проекта: обозреватель проекта Все действия Все действия, кроме действий с ограниченным доступом Действия при выполнении Только для чтения Только для чтения

Пользователи с ролью администратора проекта могут выполнять все действия над проектами, в которых они являются администраторами.

Администратор проекта может создавать, читать, обновлять и удалять конвейеры, переменные, конечные точки, панели управления, триггеры и запускать конвейер, который включает в себя конечные точки или переменные с ограниченным доступом, если эти ресурсы принадлежат проекту, администратором которого является пользователь.

Пользователи, у которых есть роль «Обозреватель службы», могут видеть всю информацию, доступную администратору. Они не могут выполнять никаких действий, пока администратор не сделает их администраторами или участниками проекта. Если пользователь связан с проектом, у него есть разрешения, связанные с ролью. Обозреватель проекта не может расширять свои разрешения так же, как администратор или участник. Эта роль доступна только для чтения во всех проектах.

Если у вас есть разрешения на чтение в проекте, вы все равно можете видеть ресурсы с ограниченным доступом.

  • Чтобы просмотреть конечные точки с ограниченным доступом, на карточке которых отображается значок блокировки, щелкните Настройка > Конечные точки.
  • Чтобы просмотреть секретные переменные и переменные с ограниченным доступом, для которых в столбце Тип указаны значения RESTRICTED или SECRET, щелкните Настройка > Переменные.
Табл. 2. Возможности роли службы vRealize Automation Code Stream
Контекст пользовательского интерфейса Возможности Роль администратора Code Stream Роль разработчика Code Stream Роль исполнителя Code Stream Роль обозревателя Code Stream Роль пользователя Code Stream
Конвейеры
Просмотр конвейеров Да Да Да Да
Создание конвейеров Да Да
Запуск конвейеров Да Да Да
Запуск работы конвейеров, содержащих конечные точки и переменные с ограниченным доступом Да
Обновление конвейеров Да Да
Удаление конвейеров Да Да
Циклы выполнения конвейера
Просмотр циклов выполнения конвейера Да Да Да Да
Возобновление, приостановка и отмена циклов выполнения конвейера Да Да Да
Возобновление работы конвейеров, приостановленных для утверждения использования ресурсов с ограниченным доступом Да
Настраиваемые интеграции
Создание настраиваемых интеграций Да Да
Чтение настраиваемых интеграций Да Да Да Да
Обновление настраиваемых интеграций Да Да
Конечные точки
Просмотр циклов выполнения Да Да Да Да
Создание циклов выполнения Да Да
Обновление циклов выполнения Да Да
Удаление циклов выполнения Да Да
Пометить как ресурсы с ограниченным доступом
Пометка конечной точки или переменной как ресурса с ограниченным доступом Да
Панели управления
Просмотр панелей управления Да Да Да Да
Создание панелей управления Да Да
Обновление панелей управления Да Да
Удаление панелей управления Да Да

Настраиваемые роли и разрешения в vRealize Automation Code Stream

Для пользователей, работающих с конвейерами, можно создавать настраиваемые роли в vRealize Automation Cloud Assembly, расширяющие их права. При создании настраиваемой роли для конвейеров vRealize Automation Code Stream необходимо выбрать одно или несколько разрешений для конвейера.

Для пользователей, которым будет назначена эта настраиваемая роль, выберите минимальное количество разрешений для конвейера.

Если пользователю, которому назначен проект и задана роль в этом проекте, назначается настраиваемая роль, которая включает в себя одно или несколько разрешений для конвейера, он может выполнять все действия, предусмотренные этими разрешениями. Например, он может создавать переменные с ограниченным доступом, управлять конвейерами с ограниченным доступом, создавать настраиваемые интеграции и управлять ими, а также многое другое.

Табл. 3. Разрешения для конвейера, которые можно назначать настраиваемым ролям
Разрешение для конвейера Администратор Code Stream Разработчик Code Stream Исполнитель Code Stream Обозреватель Code Stream Пользователь Code Stream Администратор проекта Участник проекта Наблюдатель проекта
Управление конвейерами Да Да Да Да
Управление конвейерами с ограниченным доступом Да Да
Управление настраиваемыми интеграциями Да Да
Выполнение конвейеров Да Да Да Да Да
Выполнение конвейеров с ограниченным доступом Да Да
Управление циклами выполнения Да Да
Чтение. Это разрешение не отображается. Да Да Да Да Да Да Да
Табл. 4. Как можно использовать разрешения для конвейера с настраиваемыми ролями
Разрешение Возможные действия
Управление конвейерами
  • Создание, обновление, удаление, клонирование конвейеров.
  • Выпуск конвейеров для VMware Service Broker и отмена выпуска.
  • Создание, обновление и удаление конечных точек.
  • Создание, обновление и удаление обычных и секретных переменных.
  • Создание, клонирование, обновление и удаление прослушивателя Gerrit.
  • Подключение и отключение прослушивателя Gerrit.
  • Создание, клонирование, обновление и удаление триггера Gerrit.
  • Создание, обновление и удаление веб-перехватчика Git.
  • Создание, обновление и удаление веб-перехватчика Docker.
  • Использование смарт-шаблонов конвейера для создания конвейеров.
  • Импорт конвейеров из YAML и экспорт их в YAML.
  • Создание, обновление или удаление настраиваемых панелей управления.
  • Чтение всех настраиваемых интеграций
  • Чтение всех конечных точек и переменных с ограниченным доступом; просмотр их значений не разрешен.
Управление конвейерами с ограниченным доступом
  • Создание, обновление и удаление конечных точек.
  • Маркировка конечных точек как точек с ограниченным доступом, их обновление и удаление.
  • Создание, обновление и удаление обычных и секретных переменных.
  • Создание, обновление и удаление переменных с ограниченным доступом.
  • Все разрешения, которые можно использовать при управлении конвейерами.
Управление настраиваемыми интеграциями
  • Создание и обновление настраиваемых интеграций.
  • Создание версии и выпуск настраиваемых интеграций.
  • Удаление и объявление устаревшими версий настраиваемой интеграции.
  • Удаление настраиваемых интеграций.
Выполнение конвейеров
  • Запустите конвейеры.
  • Приостановка, возобновление и отмена выполнения конвейера.
  • Перезапуск цикла выполнения конвейера.
  • Возобновление, перезапуск и запуск вручную триггерного события Gerrit.
  • Утверждение операции пользователя, возможность пакетного утверждения операций пользователей.
Выполнение конвейеров с ограниченным доступом
  • Запустите конвейеры.
  • Приостановка, возобновление, отмена и удаление циклов выполнения конвейера.
  • Перезапуск цикла выполнения конвейера.
  • Синхронизация активного цикла выполнения конвейера.
  • Принудительное удаление активного цикла выполнения конвейера.
  • Возобновление, перезапуск, удаление и запуск вручную триггерного события Gerrit.
  • Разрешение запрещенных элементов и продолжение выполнения конвейера.
  • Переключение контекста пользователя и продолжение выполнения конвейера после утверждения задачи «Операция пользователя».
  • Все разрешения, которые можно использовать при выполнении конвейеров.
Управление циклами выполнения
  • Запустите конвейеры.
  • Приостановка, возобновление, отмена и удаление циклов выполнения конвейера.
  • Перезапуск цикла выполнения конвейера.
  • Возобновление, перезапуск, удаление и запуск вручную триггерного события Gerrit.
  • Все разрешения, которые можно использовать при выполнении конвейеров.

Настраиваемые роли могут включать в себя комбинации разрешений. Такие разрешения организуются в виде групп возможностей, которые позволяют пользователям управлять конвейерами, содержащими или не содержащими ресурсы с ограниченным доступом, или выполнять их. Эти разрешения представляют все возможности, которые может выполнять каждая роль в vRealize Automation Code Stream.

Например, если создать настраиваемую роль и добавить разрешение с именем Управление конвейерами с ограниченным доступом, пользователи с ролью разработчика vRealize Automation Code Stream смогут выполнять следующие действия.

  • Создание, обновление и удаление конечных точек.
  • Маркировка конечных точек как точек с ограниченным доступом, их обновление и удаление.
  • Создание, обновление и удаление обычных и секретных переменных.
  • Создание, обновление и удаление переменных с ограниченным доступом.
Табл. 5. Примеры комбинаций разрешений для конвейера в настраиваемых ролях
Количество разрешений, назначенных настраиваемой роли Примеры комбинированных разрешений Использование этой комбинации
Одно разрешение Выполнение конвейеров
Два разрешения Управление конвейерами и Выполнение конвейеров
Три разрешения Управление конвейерами, Выполнение конвейеров и Выполнение конвейеров с ограниченным доступом
Управление конвейерами, Управление настраиваемыми интеграциями и Выполнение конвейеров с ограниченным доступом

Эта комбинация может применяться к роли «Разработчик vRealize Automation Code Stream», но только в проектах, в которых пользователь является участником.

Управление конвейерами, Управление настраиваемыми интеграциями и Управление циклами выполнения

Это сочетание может применяться к роли «Администратор vRealize Automation Code Stream», но только в проектах, в которых пользователь является участником.

Управление конвейерами, Управление конвейерами с ограниченным доступом и Управление настраиваемыми интеграциями Эта комбинация предоставляет пользователю все разрешения, а также позволяет создавать и удалять любые элементы в vRealize Automation Code Stream.

Пользователям с ролью администратора

Администратор может создавать настраиваемые интеграции, конечные точки, переменные, триггеры, конвейеры и панели управления.

Проекты позволяют конвейерам получать доступ к ресурсам инфраструктуры. Администраторы создают проекты, чтобы пользователи могли объединять конвейеры, конечные точки и панели управления. Затем пользователи выбирают проект в конвейерах. В каждом проекте присутствуют администратор и пользователи с назначенными им ролями.

Пользователь с ролью администратора может ограничивать доступ к конечными точкам и переменным, а также запускать конвейеры, в которых используются ресурсы с ограниченным доступом. Если пользователь, не являющийся администратором, запускает конвейер, содержащий конечную точку или переменную с ограниченным доступом, выполнение остановится на задаче, в которой используется такая переменная, после чего работу конвейера должен будет возобновить администратор.

Администратор может также отправлять запрос на публикацию конвейеров в vRealize Automation Service Broker.

Пользователям с ролью разработчика

Разработчики могут работать с конвейерами так же, как и администраторы, но они не могут работать с конечными точками и переменными, доступ к котором ограничен.

При запуске конвейера, в котором используются конечные точки или переменные с ограниченным доступом, он выполняется только до задачи, в которой используется ресурс с ограниченным доступом. После этого он останавливается, и администратор vRealize Automation Code Stream или администратор проекта должен возобновить конвейер.

Роль пользователя

Можно пользоваться vRealize Automation Code Stream, но без прав, доступных в рамках других ролей.

Роль обозревателя

Можно просматривать те же ресурсы, которые видит администратор, например конвейеры, конечные точки, циклы выполнения конвейера, панели управления, настраиваемые интеграции и триггеры, но их нельзя создавать, обновлять или удалять. Для выполнения действий обозревателю должна быть также предоставлена роль администратора проекта или участника проекта.

Пользователи с ролью обозревателя могут просматривать проекты. Они также могут просматривать конечные точки и переменные с ограниченным доступом, но подробная информация о них остается недоступной.

Роль исполнителя

Можно запускать конвейеры и выполнять действия в рамках задач, связанных с пользовательскими операциями. Также можно возобновлять, приостанавливать и отменять выполнение конвейеров, но нельзя изменять конвейеры.

Назначение и обновление ролей

Чтобы назначать роли другим пользователям и обновлять их, требуются права администратора.

  1. Для просмотра активных пользователей и их ролей в vRealize Automation нажмите расположенный справа вверху элемент с девятью точками.
  2. Нажмите Управление идентификацией и доступом.

    На панели VMware Cloud Services открывается страница Управление идентификацией и доступом, где отображаются пользователи и их роли.

  3. Чтобы просмотреть имена и роли пользователей, нажмите Активные пользователи.

    На странице Управление идентификацией и доступом отображаются имена пользователей, адреса электронной почты, роли в организации и служебные роли.

  4. Чтобы добавить или изменить роли пользователя, установите флажок рядом с его именем и щелкните Изменить роли.
  5. При добавлении или изменении ролей пользователей можно также добавлять доступ к службам.
  6. Чтобы сохранить изменения, нажмите Сохранить.