Private Automation Hub でのユーザーアクセスの管理
Automation Hub ユーザーのグループを作成して適切なシステムパーミッションを割り当てるか、認証前のユーザーに表示アクセスのみを許可する
概要
はじめに
Automation Hub でユーザーアクセスを設定し、組織内のグループに適切なレベルのシステムパーミッションを指定するか、認証前のユーザーに表示アクセスだけを割り当てます。
多様性を受け入れるオープンソースの強化
Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、今後の複数のリリースで段階的に用語の置き換えを実施して参ります。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。
第1章 ローカル Automation Hub のユーザーアクセスの設定
1.1. ユーザーアクセスについて
特定のパーミッションを持つユーザーのグループを作成して、Automation Hub のコンテンツおよび機能へのユーザーアクセスを管理できます。
1.1.1. ユーザーアクセスの実装方法
ユーザーアクセスは、特定のユーザーに個別にパーミッションを割り当てるのではなく、システムオブジェクト (ユーザー、グループ、namespace) へのパーミッションの管理に基づいています。
作成するグループにパーミッションを割り当てます。その後、これらのグループにユーザーを割り当てることができます。これは、グループの各ユーザーにそのグループに割り当てられたパーミッションが割り当てられていることを意味します。
Automation Hub で作成されるグループは、内部コレクションの管理、ユーザーアクセスの設定、リポジトリー管理を担当するシステム管理者から、内部で開発されたコンテンツを整理して Automation Hub にアップロードするためのアクセス権を持つグループまで、さまざまです。
- システムパーミッションに関する詳細は、Automation Hub permissions を参照してください。
1.1.2. デフォルトのユーザーアクセス
Automation Hub をインストールすると、デフォルトの admin ユーザーは で作成されます。Admin グループ。このグループには、システム内のすべてのパーミッションが割り当てられます。
1.1.3. スタートガイド
認証情報を使用して、ローカルの Automation Hub にログインします。admin インストール中に設定されたユーザー。
以下のセクションでは、Automation Hub にアクセスするユーザーを編成し、目標を達成するために必要なアクセス許可をユーザーに提供することに関連するワークフローについて説明します。利用可能なすべてのパーミッションの完全な一覧および説明は、パーミッション参照テーブルを参照してください。
1.2. 新規グループの作成
ユーザーがシステム内の指定された機能にアクセスできるパーミッションを作成し、Automation Hub のグループに割り当てることができます。デフォルトでは、 があります。adminsすべての権限が割り当てられており、Automation Hub のインストール時に作成された認証情報を使用して初回ログイン時に使用できる Automation Hub の グループ。
前提条件
- を持っています。groups 権限で、Automation Hub のグループ設定とアクセスを作成および管理できます。
手順
- ローカルの Automation Hub にログインします。
- menu:User Access[Groups] に移動します。
- [Create] ボタンをクリックします。
- を提供します。Nameで btn:[Create] をクリックします。
新しいグループの編集ページで、パーミッションを割り当てたり、ユーザーを追加したりできるようになりました。
1.3. グループへのパーミッションの割り当て
ユーザーがシステム内の特定の機能にアクセスできるパーミッションを Automation Hub のグループに割り当てることができます。デフォルトでは、新規グループにパーミッションが割り当てられません。最初のグループ作成時にパーミッションを追加するか、既存のグループを編集してパーミッションを追加または削除できます。
前提条件
- を持っています。Change group 権限で、Automation Hub のグループ権限を編集できます。
手順
- ローカルの Automation Hub にログインします。
- menu:User Access[Groups] に移動します。
- グループ名をクリックします。
- を選択します。Permissions タブで btn:[Edit] をクリックします。
- パーミッションタイプのフィールドをクリックし、一覧に表示されるパーミッションを選択します。
- 権限の割り当てが完了したら、[Save] ボタンをクリックします。
このグループは、割り当てられたパーミッションに関連付けられている Automation Hub の機能にアクセスできるようになりました。
1.4. 新規ユーザーの作成
Automation Hub でユーザーを作成し、割り当てられたパーミッションのレベルによって関連付けられたシステム内の機能にアクセスできるグループにユーザーを追加できます。
前提条件
- を持っています。user 権限があり、Automation Hub でユーザーを作成できます。
手順
- ローカルの Automation Hub にログインします。
- menu:Users[] に移動します。
- [Create user] ボタンをクリックします。
- 各フィールドに情報を入力します。Username と Password が必要です。
- (オプション) をクリックして、ユーザーをグループに割り当てます。Groups フィールドでグループのリストから選択します。
- [Save] ボタンをクリックします。
新しいユーザーが のリストに表示されます。Users ページ。
1.5. スーパーユーザーの作成
Automation Hub でスーパーユーザーを作成し、チーム全体で管理作業を分散できます。
前提条件
- を持っています。Super user 権限があり、Automation Hub でユーザーを作成できます。
手順
- ローカルの Automation Hub にログインします。
- menu:User Access[] に移動します。
- [Users] ボタンをクリックします。
- スーパーユーザーにするユーザーを選択して、User details ページを表示します。
- を選択します。Super User ユーザータイプの下。
ユーザーは現在、Super user 権限。
1.6. グループへのユーザーの追加
グループの作成時にユーザーを追加したり、既存のグループにユーザーを手動で追加したりできます。本セクションでは、既存のグループにユーザーを追加する方法を説明します。
前提条件
- を持っています。groups 権限で、Automation Hub のグループ設定とアクセスを作成および管理できます。
手順
- Automation Hub にログインします。
- menu:User Access[Groups] に移動します。
- グループ名をクリックします。
- menu:Users[] タブに移動し、[Add] ボタンをクリックします。
- 一覧から追加するユーザーを選択し、[Add] ボタンをクリックします。
これで、グループに選択したユーザーが追加されました。これらのユーザーは、グループに割り当てられた Automation Hub を使用するためのパーミッションを持つようになりました。
1.7. コンテンツキュレーターの新規グループの作成
組織内のコンテンツキュレーションをサポートするように設計された Automation Hub で、新しいグループを作成できます。組織は、Automation Hub での公開用に内部で開発されたコレクションに提供します。
本セクションでは、新しいグループを作成し、コンテンツ開発者が namespace を作成してコレクションを Automation Hub にアップロードできるようにするために必要なパーミッションを割り当てます。
前提条件
- を持っています。admin Automation Hub で権限を付与し、グループを作成します。
手順
- ローカルの Automation Hub にログインします。
- menu:Groups[] に移動し、[Create] ボタンをクリックします。
- を入力します。Content Engineering としての Name モーダルでグループを選択し、btn:Create をクリックします。新しいグループが作成され、Groups ページが表示されます。
- Permissions タブで btn:[Edit] をクリックします。
- の下でNamespaces で の権限を追加します。Add Namespace、Upload to Namespace と Change Namespace
[Save] ボタンをクリックします。
新しいグループは、割り当てたパーミッションで作成されます。次に、グループにユーザーを追加できます。
- をクリックします。Users の タブGroups ページ。
- [Add] ボタンをクリックします。
- モーダルからユーザーを選択し、[Add] ボタンをクリックします。
まとめ
新しいグループは Automation Hub を使用して、以下を実行できます。
- namespace の作成
- namespace の詳細およびリソースページの編集
- 内部で開発されたコレクションの namespace へのアップロード
1.8. Automation Hub のパーミッション
パーミッションは、各グループが特定のオブジェクトに対して実行する一連の定義済みのアクションを提供します。以下のパーミッションに基づいて、グループに必要なアクセスレベルを決定します。
表1.1 パーミッション参照テーブル
オブジェクト | パーミッション | 説明 |
---|---|---|
namespace | namespace の追加 namespace へのアップロード 名前空間の変更 名前空間の削除 | これらのパーミッションが割り当てられたグループは、名前空間の作成、コレクションのアップロード、または削除を行うことができます。 |
collections | Ansible リポジトリーコンテンツの変更 コレクションの削除 | この権限を持つグループは、承認機能を使用してリポジトリー間でコンテンツを移動したり、認証または拒否機能を使用してコンテンツをリポジトリーから移動したりできます。staging から published または rejected リポジトリー、コレクションを削除します。 |
users | ユーザーの表示 ユーザーの削除 ユーザーの追加 ユーザーの変更 | これらのパーミッションが割り当てられたグループは、ユーザー設定の管理および Automation Hub へのアクセスが可能です。 |
groups | グループの表示 グループの削除 グループの追加 グループの変更 | これらのパーミッションが割り当てられたグループは、グループ設定の管理および Automation Hub へのアクセスが可能です。 |
コレクションリモート | コレクションリモートの変更 コレクションリモートの表示 | これらの権限を持つグループは、Collections[Repo Management] に移動して、リモートリポジトリーを設定できます。 |
containers | コンテナーの名前空間パーミッションの変更 コンテナーの変更 イメージタグの変更 新規コンテナーの作成 既存コンテナーへのプッシュ コンテナーリポジトリーの削除 | これらのパーミッションが割り当てられたグループは、Automation Hub でコンテナーリポジトリーを管理できます。 |
リモートレジストリー | リモートレジストリーの追加 リモートレジストリーの変更 リモートレジストリーの削除 | これらのパーミッションが割り当てられたグループは、Automation Hub に追加されたリモートレジストリーを追加、変更、または削除できます。 |
タスク管理 | タスクの変更 タスクの削除 全タスクの表示 | これらの権限を持つグループは、追加されたタスクを管理できます。Task Management Automation Hub で。 |
1.9. Automation Hub からのユーザーの削除
ユーザーアカウントを削除すると、ユーザーの名前とメールが Automation Hub から完全に削除されます。
前提条件
- を持っています。user Automation Hub の権限。
手順
- Automation Hub にログインします。
- menu:User Access[] を展開します。
- btn:[Users] をクリックして、現在のユーザーの一覧を表示します。
- 削除するユーザーの横にあるアクションメニュー ( ) をクリックし、btn:[Delete] をクリックします。
- 警告メッセージの btn:[Delete] をクリックして、ユーザーを永久に削除します。
第2章 Private Automation Hub の表示アクセスのみの有効化
表示アクセスのみを有効にすると、ユーザーがログインなしに Private Automation Hub でコレクションまたは名前空間を表示する権限を付与できます。表示アクセスのみでは、承認されていないユーザーとコンテンツを共有でき、プライベート自動化ハブですべてを編集するパーミッションなしに、ソースコードのみを表示またはダウンロードする機能を制限できます。
Red Hat Ansible Automation Platform インストーラーにあるインベントリーファイルを編集して、Private Automation Hub の表示アクセスのみを有効にします。
-
Ansible Automation Platform の新規インスタンスをインストールする場合は、以下の手順に従って、他のインストール設定と共に
automationhub_enable_unauthenticated_collection_access
パラメーターおよびautomationhub_enable_unauthenticated_collection_download
パラメーターをinventory
ファイルに追加します。 -
既存の Ansible Automation Platform インストールを更新して表示アクセスのみを追加する場合は、
automationhub_enable_unauthenticated_collection_access
パラメーターおよびautomationhub_enable_unauthenticated_collection_download
パラメーターをinventory
ファイルに追加してから、setup.sh
スクリプトを実行して更新を適用します。
手順
インストーラーに移動します。
- バンドルのインストーラー
$ cd ansible-automation-platform-setup-bundle-<latest-version>
- オンラインインストーラー
$ cd ansible-automation-platform-setup-<latest-version>
-
テキストエディターで
inventory
ファイルを開きます。 以下の例のように、
automationhub_enable_unauthenticated_collection_access
パラメーターおよびautomationhub_enable_unauthenticated_collection_download
パラメーターをインベントリーファイルに追加し、両方をTrue
に設定します。[all:vars] automationhub_enable_unauthenticated_collection_access = True 1 automationhub_enable_unauthenticated_collection_download = True 2
-
setup.sh
スクリプトを実行します。インストーラーは、Automation Hub の表示アクセスのみを有効にします。
検証
インストールが完了したら、ログインせずに Automation Hub でコンテンツを表示してみると、Private Automation Hub での表示のみを利用できることが確認できます。
- Private Automation Hub に移動します。
- ログイン画面で、[View only mode] ボタンをクリックします。
ログインせずに、名前空間やコレクションなど、Automation Hub でコンテンツを表示できることを確認します。