2.8. 用户访问的粒度权限

细粒度权限允许机构管理员为一个或多个应用程序定义角色权限。许多预定义角色都提供通配符权限,这等同于超级用户角色,具有对所有操作的完整访问权限。

通过定义粒度权限,您可以创建(或修改)具有有限权限的角色,如只读或读取和更新,但不能删除。

例如,比较成本管理员和成本价格视图的预定义角色。

角色Application(应用程序)资源操作

Cost Administrator

cost-management

*(all)

*(all)

成本价格列表查看器

cost-management

cost_model

读取

通过创建新角色,您可以定义特定于该角色的应用程序、资源和操作。

2.8.1. 添加自定义用户访问角色

用户访问提供了很多可以添加到组的预定义角色。除了使用预定义的角色外,您还可以创建和管理自定义用户访问角色,其具有一个或多个应用程序的粒度权限。

有关红帽提供的预定义角色列表,请参阅 预定义的用户访问角色 部分。

注意

您无法修改预定义的角色。

先决条件

  • 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console
  • 如果您不是机构管理员,则必须是分配了 User Access 管理员角色 的组的成员。

流程

使用指导向导可帮助您完成添加角色的步骤。

以下步骤描述了如何使用 Create role 向导。

  1. 进入到 Red Hat Hybrid Cloud Console > Settings > Identity & Access Management > User Access > Roles。此时会出现 Roles 窗口。
  2. Create role 按钮。这将启动 Create role 向导。

此时,您可以从头开始创建角色或复制现有角色。

2.8.2. 从头开始创建角色

在您要创建具有特定粒度权限的角色时,从头开始创建角色。例如,您可以为您的机构创建一个单个角色,为所有可用应用程序提供所有资源的只读权限。通过在默认访问组中添加和管理此角色,您可以将默认访问权限更改为只读。

先决条件

  • 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console
  • 如果您不是机构管理员,则必须是分配了 User Access 管理员角色 的组的成员。
  • 您启动了 Create role 向导。

流程

  1. Create role 向导中,点 Create a role from scratch 按钮。
  2. 输入 角色名称,这是必需的。
  3. (可选) 输入角色描述
  4. Next 按钮。如果角色名称已存在,则必须提供不同的名称,然后才能继续。
  5. 使用 Add permissions 窗口选择要包含在您的角色中的应用程序权限。默认情况下,应用程序列出权限。
  6. (可选)使用过滤器下拉列表根据应用程序、资源或操作过滤。

    提示

    使用向导页面顶部的列表来查看添加到角色的所有权限。您可以点权限删除它。

  7. Next 按钮查看详情。您可以点击 Submit 按钮提交角色,返回返回 并进行更改,或者 Cancel 按钮取消该操作。

您创建的角色可用于添加到 User Access 组中。

2.8.3. 复制现有角色

当该角色已包含您要使用的许多权限并且需要更改、添加或删除某些权限时,复制现有角色。

现有角色可以是红帽提供的预定义角色之一,也可以是之前创建的自定义角色。有关红帽提供的预定义角色列表,请参阅 预定义的用户访问角色 部分。

注意

您无法修改预定义的角色。

先决条件

  • 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console
  • 如果您不是机构管理员,则必须是分配了 User Access 管理员角色 的组的成员。
  • 您启动了 Create role 向导。

流程

  1. Create role 向导中,点 Copy an existing role 按钮。
  2. 点击您要复制的角色旁边的按钮。
  3. Next 按钮。
  4. Name and description 窗口显示 Role name 的副本,并填写了现有角色描述。根据需要进行更改。
  5. Next 按钮。如果角色名称已存在,则必须提供不同的名称,然后才能继续。
  6. 使用 Add permissions 窗口选择要包含在您的角色中的应用程序权限。默认情况下,应用程序列出权限。

    提示

    自定义角色只支持粒度权限。通配符权限,如 approval:*:*,不会复制到一个自定义角色中。

  7. (可选)使用过滤器下拉列表根据应用程序、资源或操作过滤。

    提示

    使用向导页面顶部的列表来查看添加到角色的所有权限。您可以点权限删除它。

  8. Next 按钮查看详情。您可以点击 Submit 按钮提交角色,返回返回 并进行更改,或者 Cancel 按钮取消该操作。

您创建的角色可用于添加到 User Access 组中。

2.8.4. 创建特定于应用程序的角色

使用 Create role 向导提供的过滤器为特定应用程序创建角色。当您为特定应用程序创建角色时,过滤器会为所选的应用程序显示允许的资源类型操作

您可以创建包含多个应用程序的应用程序特定角色。

先决条件

  • 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console
  • 如果您不是机构管理员,则必须是分配了 User Access 管理员角色 的组的成员。
  • 您启动了 Create role 向导。
  • 您处于向导中的 Add permissions 步骤。

流程

  1. Add permissions 窗口中,点 Filter by application 字段。
  2. 通过键入应用程序名称的前几个字母来选择应用程序。向导显示该应用程序的匹配权限。
  3. (可选)使用导航工具滚动可用应用程序和权限的列表。
  4. 点特定应用程序角色的权限旁边的复选框。
  5. Next 按钮查看详情。您可以点击 Submit 按钮提交角色,返回返回 并进行更改,或者 Cancel 按钮取消该操作。

2.8.5. 创建成本管理应用程序角色

您可以创建一个特定于成本管理应用程序的角色。当您创建成本管理角色时,您可以为该角色定义成本管理资源定义。其他应用角色不提供该选择。

先决条件

  • 安装和配置成本管理 Operator。
  • 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console
  • 如果您不是机构管理员,则必须是分配了 User Access 管理员角色 的组的成员。
  • 至少配置一个云集成用于成本管理。
  • 您启动了 Create role 向导。

流程

这个步骤描述了如何从头开始创建具有成本管理权限的角色。

  1. Create role 窗口中,单击 单选按钮 从头开始创建角色
  2. 输入 Role name (必需)和 Role 描述 (可选)。
  3. Next 按钮显示 Add permissions 窗口。
  4. Filter by application 字段中输入 cost 以显示成本管理应用程序,然后点 cost-management 复选框。
  5. 出现 Add permissions 窗口时,单击此角色中包含的每个成本管理权限的复选框。
  6. 单击 Next 按钮,以显示 Define Cost Management resources 窗口。
  7. 您将看到您添加到角色的每个应用程序权限的可用资源 定义 的下拉列表。您必须点击每个成本管理权限中至少一个资源的复选框。
  8. Next 按钮查看详情。您可以点击 Submit 按钮提交角色,返回返回 并进行更改,或者 Cancel 按钮取消该操作。

2.8.5.1. 从头开始创建角色的成本管理示例

先决条件

  • 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console
  • 如果您不是机构管理员,则必须是分配了 User Access 管理员角色 的组的成员。
  • 至少配置一个云集成用于成本管理。
  • 您启动了 Create role 向导。

流程

  1. 启动 Create role 向导,再单击 从头开始创建角色
  2. 角色名称输入 AWS 机构单元成本查看器,然后点 Submit 按钮。不需要描述。
  3. Filter by application 字段中输入 cost 以显示成本管理应用程序,然后点 cost-management 复选框。
  4. 点包含 aws.organizational_unit 的行上的复选框,然后点 Next 按钮为权限 显示可用资源定义 的下拉列表。
  5. 单击 资源定义 列表中列出的至少一个资源的复选框,然后单击 Next 按钮来查看详情。
  6. 在检查了此角色的详细信息(显示权限资源定义)后,点 Submit 按钮以提交角色。

2.8.6. 编辑自定义角色名称

您可以从主角色页面或 Permissions 页面更改自定义角色的名称。

先决条件

  • * 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console
  • 如果您不是机构管理员,则必须是分配了 User Access 管理员角色 的组的成员。
  • 必须存在一个或多个自定义角色。

流程

  1. 进入到 Red Hat Hybrid Cloud Console > Settings > Identity & Access Management > User Access > Roles。此时会出现 Roles 窗口。在 Roles 窗口中,自定义角色的名称右侧具有 img more options (更多选项)。
  2. img more options (更多选项)。
  3. Edit 以更改角色名称或描述。
  4. Delete 以删除自定义角色。

    提示

    您还可以点角色名称打开 Permissions 窗口,然后点角色名称右侧的 img more options (更多选项)访问 Edit 和 Delete 操作。

  5. 此时会出现确认窗口。确认此操作无法撤消后,自定义角色将被删除。

2.8.7. 从自定义角色中删除权限

您可以从自定义角色中删除权限。

先决条件

  • 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console
  • 如果您不是机构管理员,则必须是分配了 User Access 管理员角色 的组的成员。
  • 必须存在一个或多个自定义角色。

流程

  1. 进入到 Red Hat Hybrid Cloud Console > Settings > Identity & Access Management > User Access > Roles。此时会出现 Roles 窗口。在 Roles 窗口中,自定义角色的名称右侧具有 img more options (更多选项)。
  2. 点自定义角色名称打开 Permissions 窗口。
  3. Permissions 列表中,点应用程序权限名称右侧的 img more options (更多选项)并点 Remove
  4. 此时会出现确认窗口。单击 Remove permissions

2.8.8. 恢复 Default 访问组

您可以将 Default 访问 组恢复到红帽提供的状态。当这样做时,自定义默认访问组 将删除,以及对该组所做的任何更改。

当恢复 Default access 组时,无法恢复 Custom default access 组。

恢复 Default 访问 组的原因:

  • 您更改了没有预期的 Default 访问 组。
  • 您需要使用 Default access 组 开始。
  • 您要删除 Custom default access 组。
  • 您需要获取红帽服务推送的 Default 访问 组的更改,并取消 Custom 默认访问组
注意

一个默认组( Default access 组或 Custom default access 组)始终存在于系统中。

先决条件

  • 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console
  • 如果您不是机构管理员,则必须是分配了 User Access 管理员角色 的组的成员。
  • Custom default access 组必须存在。

流程

  1. 进入 Red Hat Hybrid Cloud Console > Settings > Identity & Access Management > User Access > Groups。此时会显示 Groups 页面。
  2. Groups 页面上点 Custom default access
  3. Restore to default,接受小心消息。
    Default access 会出现在 Groups 页面中。