Private Automation Hub でのユーザーアクセスの管理
Private Automation Hub のユーザーアクセスを定義する
概要
はじめに
Automation Hub でユーザーアクセスを設定し、組織内のグループに適切なレベルのシステムパーミッションを指定するか、認証前のユーザーに表示アクセスだけを割り当てます。
多様性を受け入れるオープンソースの強化
Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、今後の複数のリリースで段階的に用語の置き換えを実施して参ります。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。
Red Hat ドキュメントへのフィードバック (英語のみ)
技術的な内容に関するフィードバックをお寄せいただきありがとうございます。皆様のご意見をお待ちしています。コメントの追加、Insights の提供、誤字の修正、および質問を行う必要がある場合は、ドキュメントで直接行うこともできます。
Red Hat アカウントがあり、カスタマーポータルにログインしている必要があります。
カスタマーポータルからドキュメントのフィードバックを送信するには、以下の手順を実施します。
- Multi-page HTML 形式を選択します。
- ドキュメントの右上にある Feedback ボタンをクリックします。
- フィードバックを提供するテキストのセクションを強調表示します。
- 強調表示されたテキストの横にある Add Feedback ダイアログをクリックします。
- ページの右側のテキストボックスにフィードバックを入力し、Submit をクリックします。
フィードバックを送信すると、自動的に問題の追跡が作成されます。Submit をクリックすると表示されるリンクを開き、問題の監視を開始するか、さらにコメントを追加します。
第1章 ローカル Automation Hub のユーザーアクセスの設定
1.1. ユーザーアクセスについて
特定のパーミッションを持つユーザーのグループを作成して、Automation Hub のコンテンツおよび機能へのユーザーアクセスを管理できます。
1.1.1. ユーザーアクセスの実装方法
ユーザーアクセスは、特定のユーザーに個別にパーミッションを割り当てるのではなく、システムオブジェクト (ユーザー、グループ、namespace) へのパーミッションの管理に基づいています。
作成するグループにパーミッションを割り当てます。その後、これらのグループにユーザーを割り当てることができます。これは、グループの各ユーザーにそのグループに割り当てられたパーミッションが割り当てられていることを意味します。
Automation Hub で作成されるグループは、内部コレクションの管理、ユーザーアクセスの設定、リポジトリー管理を担当するシステム管理者から、内部で開発されたコンテンツを整理して Automation Hub にアップロードするためのアクセス権を持つグループまで、さまざまです。
- システムパーミッションに関する詳細は、Automation Hub permissions を参照してください。
1.1.2. デフォルトのユーザーアクセス
Automation hub をインストールすると、デフォルトの admin ユーザーが Admin グループに作成されます。このグループには、システム内のすべてのパーミッションが割り当てられます。
1.1.3. スタートガイド
インストール時に設定した admin ユーザーの認証情報を使用して、ローカルの Automation Hub にログインします。
以下のセクションでは、Automation Hub にアクセスするユーザーを編成し、目標を達成するために必要なアクセス許可をユーザーに提供することに関連するワークフローについて説明します。利用可能なすべてのパーミッションの完全な一覧および説明は、パーミッション参照テーブルを参照してください。
1.2. 新規グループの作成
ユーザーがシステム内の指定された機能にアクセスできるパーミッションを作成し、Automation Hub のグループに割り当てることができます。デフォルトでは、すべてのパーミッションが割り当てられており、Automation Hub のインストール時に作成された認証情報を使用して最初のログインで使用できる admins グループが Automation Hub にあります。
前提条件
- groups パーミッションがあり、グループ設定を作成および管理し、Automation Hub でアクセスすることができる。
手順
- ローカルの Automation Hub にログインします。
- User Access → Groups に移動します。
- Create をクリックします。
- Name を指定して Create をクリックします。
グループの編集ページで、パーミッションを割り当てたり、ユーザーを追加したりできるようになりました。
1.3. グループへのパーミッションの割り当て
ユーザーがシステム内の特定の機能にアクセスできるパーミッションを Automation Hub のグループに割り当てることができます。デフォルトでは、新規グループにパーミッションが割り当てられません。最初のグループ作成時にパーミッションを追加するか、既存のグループを編集してパーミッションを追加または削除できます。
前提条件
- Change group パーミッションがあり、Automation Hub でグループパーミッションを編集できる。
手順
- ローカルの Automation Hub にログインします。
- User Access → Roles に移動します。
- Add roles をクリックします。
- 名前フィールドをクリックし、ロール名を入力します。
- 説明フィールドをクリックして説明を入力します。
- Permissions セクションを完了します。
- パーミッションタイプのフィールドをクリックし、一覧に表示されるパーミッションを選択します。
- パーミッションの割り当てが完了したら、Save をクリックします。
- User Access → Groups に移動します。
- グループ名をクリックします。
- Access タブをクリックします。
- Add roles をクリックします。
- 手順 8 で作成したロールを選択します。
- Next をクリックして、選択したロールを確認します。
- Add をクリックしてロールの追加を完了します。
このグループは、割り当てられたパーミッションに関連付けられた Automation Hub の機能にアクセスできるようになりました。
1.4. 新規ユーザーの作成
Automation Hub でユーザーを作成し、割り当てられたパーミッションのレベルによって関連付けられたシステム内の機能にアクセスできるグループにユーザーを追加できます。
前提条件
- user パーミッションを持ち、Automation Hub でユーザーを作成できる。
手順
- ローカルの Automation Hub にログインします。
- User Access に移動します。
- Create user をクリックします。
- 各フィールドに情報を入力します。Username および Password が必要です。
- [オプション] Groups フィールドをクリックしてグループの一覧から選択し、ユーザーをグループに割り当てます。
- Save をクリックします。
新しいユーザーが Users ページのリストに表示されます。
1.5. スーパーユーザーの作成
Automation Hub でスーパーユーザーを作成し、チーム全体で管理作業を分散できます。
前提条件
- Super user パーミッションがあり、Automation Hub でユーザーを作成できる。
手順
- ローカルの Automation Hub にログインします。
- User Access に移動します。
- Users をクリックします。
- スーパーユーザーにするユーザーを選択して、User details ページを表示します。
- User type で Super User を選択します。
これで、ユーザーに Super user のパーミッションが付与されます。
1.6. グループへのユーザーの追加
グループの作成時にユーザーを追加したり、既存のグループにユーザーを手動で追加したりできます。本セクションでは、既存のグループにユーザーを追加する方法を説明します。
前提条件
- groups パーミッションがあり、グループ設定を作成および管理し、Automation Hub でアクセスすることができる。
手順
- Automation Hub にログインします。
- User Access → Groups に移動します。
- グループ名をクリックします。
- Users タブに移動し、Add をクリックします。
- 一覧から追加するユーザーを選択し、Add をクリックします。
選択したユーザーをグループに追加しました。これらのユーザーは、グループに割り当てられた Automation Hub を使用するためのパーミッションを持つようになりました。
1.7. コンテンツキュレーターの新規グループの作成
組織内のコンテンツキュレーションをサポートするように設計された Automation Hub で、新しいグループを作成できます。組織は、Automation Hub での公開用に内部で開発されたコレクションに提供します。
このセクションでは、新しいグループを作成し、コンテンツ開発者が namespace を作成してコレクションを Automation Hub にアップロードできるようにするために必要なパーミッションを割り当てます。
前提条件
- Automation Hub で管理者権限があり、グループを作成している。
手順
- ローカルの Automation Hub にログインします。
- User Access → Groups に移動し、Create をクリックします。
- モーダルのグループの Name として Content Engineering を入力し、Create をクリックします。新しいグループが作成され、Groups ページが表示されます。
- Permissions タブで、Edit をクリックします。
- Namespaces 配下で、Add Namespace、Upload to Namespace、および Change Namespace のパーミッションを追加します。
Save をクリックします。
新しいグループは、割り当てたパーミッションで作成されます。その後、グループにユーザーを追加できます。
- Groups ページの Users タブをクリックします。
- Add をクリックします。
- モーダルからユーザーを選択し、Add をクリックします。
まとめ
新しいグループは Automation Hub を使用して、以下を実行できます。
- namespace を作成します。
- namespace の詳細およびリソースページを編集します。
- 内部で開発されたコレクションを namespace にアップロードします。
1.8. Automation Hub のパーミッション
パーミッションは、各グループが特定のオブジェクトに対して実行する一連の定義済みのアクションを提供します。以下のパーミッションに基づいて、グループに必要なアクセスレベルを決定します。
表1.1 パーミッション参照テーブル
| オブジェクト | パーミッション | 説明 |
|---|---|---|
| コレクションの namespace | 名前空間の追加 namespace へのアップロード 名前空間の変更 名前空間の削除 | これらのパーミッションが割り当てられたグループは、名前空間の作成、コレクションのアップロード、または削除を行うことができます。 |
| collections | Ansible リポジトリーコンテンツの変更 コレクションの削除 | このパーミッションが割り当てられたグループは、承認機能を使用してリポジトリー間でコンテンツを移動でき、確定または拒否機能で staging から published または rejected リポジトリーにコンテンツを移動して、コレクションを削除します。 |
| users | ユーザーの表示 ユーザーの削除 ユーザーの追加 ユーザーの変更 | これらのパーミッションが割り当てられたグループは、ユーザー設定の管理および Automation Hub へのアクセスが可能です。 |
| groups | グループの表示 グループの削除 グループの追加 グループの変更 | これらのパーミッションが割り当てられたグループは、グループ設定の管理および Automation Hub へのアクセスが可能です。 |
| コレクションリモート | コレクションリモートの変更 コレクションリモートの表示 | これらの権限を持つグループは、Collections → Repo Management に移動して、リモートリポジトリーを設定できます。 |
| containers | コンテナーの名前空間パーミッションの変更 コンテナーの変更 イメージタグの変更 新規コンテナーの作成 既存コンテナーへのプッシュ コンテナーリポジトリーの削除 | これらのパーミッションが割り当てられたグループは、Automation Hub でコンテナーリポジトリーを管理できます。 |
| リモートレジストリー | リモートレジストリーの追加 リモートレジストリーの変更 リモートレジストリーの削除 | これらのパーミッションが割り当てられたグループは、Automation Hub に追加されたリモートレジストリーを追加、変更、または削除できます。 |
| タスク管理 | タスクの変更 タスクの削除 全タスクの表示 | これらのパーミッションが割り当てられたグループは、Automation Hub の Task Management に追加されたタスクを管理できます。 |
1.9. Automation Hub からのユーザーの削除
ユーザーアカウントを削除すると、ユーザーの名前とメールが Automation Hub から完全に削除されます。
前提条件
- Automation Hub に user パーミッションがある。
手順
- Automation Hub にログインします。
- User Access に移動します。
- Users をクリックして、現在のユーザーの一覧を表示します。
- 削除するユーザーの横にある More Actions アイコン ⋮ をクリックしてから、Delete をクリックします。
- 警告メッセージの Delete をクリックして、ユーザーを永続的に削除します。
第2章 Private Automation Hub の表示アクセスのみの有効化
表示アクセスのみを有効にすると、ユーザーがログインなしに Private Automation Hub でコレクションまたは名前空間を表示する権限を付与できます。表示アクセスのみでは、承認されていないユーザーとコンテンツを共有でき、プライベート自動化ハブですべてを編集するパーミッションなしに、ソースコードのみを表示またはダウンロードする機能を制限できます。
Red Hat Ansible Automation Platform インストーラーにあるインベントリーファイルを編集して、Private Automation Hub の表示アクセスのみを有効にします。
-
Ansible Automation Platform の新規インスタンスをインストールする場合は、以下の手順に従って、他のインストール設定と共に
automationhub_enable_unauthenticated_collection_accessパラメーターおよびautomationhub_enable_unauthenticated_collection_downloadパラメーターをinventoryファイルに追加します。 -
既存の Ansible Automation Platform インストールを更新して表示アクセスのみを追加する場合は、
automationhub_enable_unauthenticated_collection_accessパラメーターおよびautomationhub_enable_unauthenticated_collection_downloadパラメーターをinventoryファイルに追加してから、setup.shスクリプトを実行して更新を適用します。
手順
インストーラーに移動します。
- バンドルのインストーラー
$ cd ansible-automation-platform-setup-bundle-<latest-version>
- オンラインインストーラー
$ cd ansible-automation-platform-setup-<latest-version>
-
テキストエディターで
inventoryファイルを開きます。 以下の例のように、
automationhub_enable_unauthenticated_collection_accessパラメーターおよびautomationhub_enable_unauthenticated_collection_downloadパラメーターをインベントリーファイルに追加し、両方をTrueに設定します。[all:vars] automationhub_enable_unauthenticated_collection_access = True 1 automationhub_enable_unauthenticated_collection_download = True 2
-
setup.shスクリプトを実行します。インストーラーは、Automation Hub の表示アクセスのみを有効にします。
検証
インストールが完了したら、ログインせずに Automation Hub でコンテンツを表示してみると、Private Automation Hub での表示のみを利用できることが確認できます。
- Private Automation Hub に移動します。
- ログイン画面で View only mode をクリックします。
ログインせずに、名前空間やコレクションなど、Automation Hub でコンテンツを表示できることを確認します。