如何在 Automation Pipelines 中管理使用者存取和核准

Automation Pipelines 提供多種方式來確保使用者擁有適當的授權，並同意使用發佈軟體應用程式的管線。

團隊中的每個成員都具有一個指派的角色，該角色提供了有關管線、端點和儀表板的特定權限，以及將資源標記為受限制的功能。

透過使用者作業和核准，您可以控制管線何時執行以及何時必須停止以取得核准。您的角色會決定是否可以恢復管線，並執行包含限制端點或變數的管線。

使用密碼變數隱藏和加密敏感資訊。針對必須隱藏和加密以及限制在執行中使用的字串、密碼和 URL 使用受限制的變數。例如，針對密碼或 URL 使用密碼變數。您可以在管線中任何類型的工作中使用密碼和受限制的變數。

Automation Pipelines 中有哪些角色

根據您在 Automation Pipelines 中的角色，可以執行特定動作並存取特定區域。例如，您的角色可能允許您建立、更新和執行管線。或者，您可能僅具有檢視管線的權限。

除受限制以外的所有動作表示此角色有權對實體執行建立、讀取、更新和刪除動作，但受限制的變數和端點除外。

表 1. Automation Pipelines 中的服務和專案層級存取權限
	Automation Pipelines 角色
存取層級	Automation Pipelines 管理員	Automation Pipelines 開發人員	Automation Pipelines 執行者	Automation Pipelines 檢視者	Automation Pipelines 使用者
Automation Pipelines 服務層級存取權	所有動作	除受限制以外的所有動作	執行動作	唯讀	無
專案層級存取權：專案管理員	所有動作	所有動作	所有動作	所有動作	所有動作
專案層級存取權：專案成員	所有動作	除受限制以外的所有動作	除受限制以外的所有動作	除受限制以外的所有動作	除受限制以外的所有動作
專案層級存取權：專案檢視者	所有動作	除受限制以外的所有動作	執行動作	唯讀	唯讀

具有專案管理員角色的使用者可以在其作為專案管理員的專案上執行所有動作。

專案管理員可以建立、讀取、更新和刪除管線、變數、端點、儀表板、觸發器，以及啟動包括受限制端點或變數在內的管線，前提是這些資源位於使用者作為專案管理員的專案中。

具有服務檢視者角色的使用者可以查看可供管理員使用的所有資訊。這些使用者無法執行任何動作，除非管理員將其設為專案管理員或專案成員。如果使用者與某個專案相關聯，便擁有與角色相關的權限。專案檢視者不會按照管理員或成員角色的方式來延伸其權限。此角色在所有專案之間都是唯讀的。

如果您在專案中具有讀取權限，則仍可查看受限制的資源。

若要查看在端點卡上顯示鎖定圖示的受限制端點，請按一下設定 > 端點。
若要查看受限制變數和密碼變數 (在類型資料行中顯示「受限制」或「密碼」)，請按一下設定 > 變數。

表 2. Automation Pipelines 服務角色功能
UI 內容	功能	Automation Pipelines 管理員角色	Automation Pipelines 開發人員角色	Automation Pipelines 執行者角色	Automation Pipelines 檢視者角色
管線
	檢視管線	是	是	是	是
	建立管線	是	是
	執行管線	是	是	是
	執行包含受限制端點或變數的管線	是
	更新管線	是	是
	刪除管線	是	是
管線執行
	檢視管線執行	是	是	是	是
	繼續、暫停和取消管線執行	是	是	是
	恢復為獲得對受限制資源的核准而停止的管線	是
自訂整合
	建立自訂整合	是	是
	讀取自訂整合	是	是	是	是
	更新自訂整合	是	是
端點
	檢視執行	是	是	是	是
	建立執行	是	是
	更新執行	是	是
	刪除執行	是	是
將資源標記為受限制
	將端點或變數標記為受限制	是
儀表板
	檢視儀表板	是	是	是	是
	建立儀表板	是	是
	更新儀表板	是	是
	刪除儀表板	是	是

Automation Pipelines 中的自訂角色和權限

您可以在 Automation Assembler 中建立自訂角色，將權限延伸至使用管線的使用者。為 Automation Pipelines 管線建立自訂角色時，選取一或多個管線權限。

選取將獲指派此自訂角色之使用者所需的最小管線權限數目。

將使用者指派給某個專案並在該專案中指定角色時，如果為該使用者指派包含一或多個管線權限的自訂角色，則他們可以執行權限允許的所有動作。例如，使用者可以建立受限制的變數、管理受限制的管線、建立和管理自訂整合等。

表 3. 可指派給自訂角色的管線權限
管線權限	Automation Pipelines 管理員	Automation Pipelines 開發人員	Automation Pipelines 執行者	Automation Pipelines 檢視者	專案管理員	專案成員	專案檢視者
管理管線	是	是			是	是
管理受限制的管線	是				是
管理自訂整合	是	是
執行管線	是	是	是		是	是
執行受限制的管線	是				是
管理執行	是				是
讀取。此權限不可見。	是	是	是	是	是	是	是

表 4. 如何將管線權限用於自訂角色
權限	可執行的操作
管理管線	建立、更新、刪除、複製管線。將管線發行/取消發行到 Automation Service Broker。建立、更新和刪除端點。建立、更新和刪除一般變數和密碼變數。建立、複製、更新和刪除 Gerrit 接聽程式。連線和中斷連線 Gerrit 接聽程式。建立、複製、更新、刪除 Gerrit 觸發器。建立、更新和刪除 Git webhook。建立、更新和刪除 Docker webhook。使用智慧管線範本來建立管線。從 YAML 匯入管線以及將其匯出至 YAML。建立、更新和刪除自訂儀表板。讀取所有自訂整合。讀取所有受限制的端點和變數，但無法檢視其值。
管理受限制的管線	建立、更新和刪除端點。將端點標記為受限制、更新受限制的端點，以及刪除這些端點。建立、更新和刪除一般變數和密碼變數。建立、更新和刪除受限制的變數。可以使用「管理管線」執行的所有權限。
管理自訂整合	建立和更新自訂整合。版本設定和發行自訂整合。刪除和取代自訂整合版本。刪除自訂整合。
執行管線	執行管線。暫停、繼續和取消管線執行。重新執行管線執行。繼續、重新執行和手動觸發 Gerrit 觸發器事件。核准使用者作業，並且可以對使用者作業執行批次核准。
執行受限制的管線	執行管線。暫停、繼續、取消和刪除管線執行。重新執行管線執行。同步正在執行的管線執行。強制刪除正在執行的管線執行。繼續、重新執行、刪除和手動觸發 Gerrit 觸發器事件。解決受限制的項目和繼續管線執行。切換使用者內容並在核准使用者作業工作後繼續管線執行。可以使用「執行管線」執行的所有權限。
管理執行	執行管線。暫停、繼續、取消和刪除管線執行。重新執行管線執行。繼續、重新執行、刪除和手動觸發 Gerrit 觸發器事件。可以使用「執行管線」執行的所有權限。

自訂角色可包含權限組合。這些權限會組織整理成允許使用者管理或執行管線的功能群組 (受限制和不受限制的資源)。這些權限表示每個角色可在 Automation Pipelines 中執行的所有功能。

例如，如果建立自訂角色並包含稱為管理受限制的管線的權限，則具有 Automation Pipelines 開發人員角色的使用者可以：

建立、更新和刪除端點。
將端點標記為受限制、更新受限制的端點，以及刪除這些端點。
建立、更新和刪除一般變數和密碼變數。
建立、更新和刪除受限制的變數。

表 5. 自訂角色中管線權限的組合範例
指派給自訂角色的權限數目	合併權限的範例	如何使用此組合
單一權限	執行管線
兩項權限	管理管線和執行管線
三項權限	管理管線、執行管線和執行受限制的管線
	管理管線、管理自訂整合和執行受限制的管線	這種組合可能適用於 Automation Pipelines 開發人員角色，但僅限於使用者所屬的專案。
	管理管線、管理自訂整合和管理執行	這種組合可能適用於 Automation Pipelines 管理員，但僅限於使用者所屬的專案。
	管理管線、管理受限制的管線和管理自訂整合	透過此組合，使用者擁有完整權限，並且可以在 Automation Pipelines 中建立和刪除任何內容。

如果您具有管理員角色

身為管理員，您可以建立自訂整合、端點、變數、觸發器、管線和儀表板。

專案允許管線存取基礎結構資源。管理員會建立專案，以便使用者可以將管線、端點和儀表板分組在一起。然後，使用者會在其管線中選取專案。每個專案都包括一個管理員和已指派角色的使用者。

如果您具有管理員角色，您可以將端點與變數標記為受限制資源，並且可以執行使用受限制資源的管線。如果非管理使用者執行包含受限制端點或變數的管線，則管線將在使用受限制變數的工作處停止，且管理員必須繼續執行管線。

作為管理員，您還可以請求在 Automation Service Broker 中發佈管線。

如果您具有開發人員角色

除了無法使用受限制的端點或變數以外，您可以像管理員一樣使用管線。

如果您執行使用受限制端點或變數的管線，則管線僅會執行使用受限制資源的工作。然後，管線停止，並且 Automation Pipelines 管理員或專案管理員必須繼續執行管線。

如果您具有使用者角色

您可以存取 Automation Pipelines，但不具有其他角色提供的任何權限。

如果您具有檢視者角色

您可以查看管理員所查看的相同資源，例如管線、端點、管線執行、儀表板、自訂整合和觸發器，但無法建立、更新或刪除這些資源。若要執行動作，還必須為檢視者角色指定專案管理員或專案成員角色。

具有檢視者角色的使用者可以查看專案。他們也可以查看受限制的端點和受限制的變數，但無法查看其相關的詳細資訊。

如果您具有執行者角色

您可以執行管線，並對使用者作業工作採取動作。您也可以繼續、暫停和取消管線執行。但是，您無法修改管線。

如何指派和更新角色

您必須是管理員和組織擁有者，才能為其他使用者指派和更新角色。

如需有關角色的詳細資訊，請參閱 VMware Aria Automation 使用者角色有哪些。

若要查看作用中的使用者及其角色，請在 VMware Aria Automation 中按一下右上方的九個點。
按一下身分識別與存取管理。
顯示作用中使用者清單。若要為使用者新增角色或變更其角色，請按一下使用者名稱旁邊的核取方塊，然後按一下編輯角色。
當您新增或變更使用者角色時，還可以新增對服務的存取權。
若要儲存變更，請按一下儲存。