2.8. 用户访问的粒度权限
粒度权限允许机构管理员为一个或多个应用程序定义角色权限。许多预定义的角色提供通配符权限,这等同于一个超级用户角色,并完全访问所有操作。
通过定义粒度权限,您可以创建(或修改)具有有限权限(如只读)或读和更新的角色,但不能删除。
例如,比较成本管理员和成本分析器的预定义角色。
| 角色 | Application(应用程序) | 资源 | 操作 |
|---|---|---|---|
| Cost Administrator | Cost-management | 过程(全部) | 过程(全部) |
| 成本增强列表查看器 | Cost-management | cost_model | 读取 |
通过创建新角色,您可以定义特定于该角色的应用程序、资源和操作。
2.8.1. 添加自定义用户访问角色
User Access 提供了多个可添加到组中的预定义角色。除了使用预定义的角色外,您还可以为一个或多个应用程序创建和管理具有粒度权限的自定义用户访问角色。
有关红帽提供的预定义角色列表,请参阅 预定义的用户访问角色 部分。
您无法修改预定义的角色。
先决条件
- 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console。
- 如果您不是机构管理员,则必须是分配了 User Access administrator 角色的用户的成员。
流程
使用指导向导可帮助您完成添加角色的步骤。
以下步骤描述了如何使用 Create role 向导。
- 进入到 Red Hat Hybrid Cloud Console > Settings 菜单(gear icon) > Identity & Access Management > User Access > Roles。此时会出现 Roles 窗口。
- 点 Create role 按钮。这将启动 Create role 向导。
此时,您可以从头开始创建角色或复制现有角色。
2.8.2. 从头开始创建角色
当您想创建具有特定粒度权限的角色时,从头开始创建角色。例如,您可以为您的机构创建一个角色,为所有可用应用程序提供所有资源的只读权限。通过在默认访问组中添加和管理此角色,您可以将默认访问权限更改为只读。
先决条件
- 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console。
- 如果您不是机构管理员,则必须是分配了 User Access administrator 角色的用户的成员。
- 您已启动了 Create role 向导。
流程
- 在 Create role 向导中,点 Create a role from scratch 按钮。
- 输入 角色名称,这是必需的。
- (可选)输入 角色描述。
- 点 Next 按钮。如果角色名称已存在,则必须在继续操作前提供不同的名称。
- 使用 Add permissions 窗口选择要包含在角色中的应用程序权限。默认情况下,权限由应用程序列出。
(可选)使用 filter 下拉菜单根据 Applications、Resources 或 Operations 过滤。
提示使用向导页面顶部的列表查看添加到角色的所有权限。您可以点击权限来删除它。
- 点 Next 按钮查看详情。您可以点击 Submit 按钮来提交角色,返回 以返回并进行更改,或者取消该操作的 Cancel 按钮。
您创建的角色可用于添加到 User Access 组中。
2.8.3. 复制现有角色
当该角色已包含您要使用的许多权限且需要更改、添加或删除某些权限时,复制现有角色。
现有角色可以是红帽提供的预定义角色之一,也可以是之前创建的自定义角色。有关红帽提供的预定义角色列表,请参阅 预定义的用户访问角色 部分。
您无法修改预定义的角色。
先决条件
- 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console。
- 如果您不是机构管理员,则必须是分配了 User Access administrator 角色的用户的成员。
- 您已启动了 Create role 向导。
流程
- 在 Create role 向导中,点 Copy an existing role 按钮。
- 点击您要复制的角色旁的按钮。
- 点 Next 按钮。
- Name and description 窗口显示 Role name 的副本,并填写了现有角色描述。根据需要进行更改。
- 点 Next 按钮。如果角色名称已存在,则必须在继续操作前提供不同的名称。
使用 Add permissions 窗口选择要包含在角色中的应用程序权限。默认情况下,权限由应用程序列出。
提示自定义角色仅支持粒度权限。通配符权限,如
approval:*:*,不会复制到一个自定义角色中。(可选)使用 filter 下拉菜单根据 Applications、Resources 或 Operations 过滤。
提示使用向导页面顶部的列表查看添加到角色的所有权限。您可以点击权限来删除它。
- 点 Next 按钮查看详情。您可以点击 Submit 按钮来提交角色,返回 以返回并进行更改,或者取消该操作的 Cancel 按钮。
您创建的角色可用于添加到 User Access 组中。
2.8.4. 创建特定于应用程序的角色
使用 Create role 向导提供的过滤器为特定应用程序创建角色。当您为特定应用程序创建角色时,过滤器会为所选的应用程序显示允许的资源类型和操作。
您可以创建包含多个应用程序的应用程序特定角色。
先决条件
- 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console。
- 如果您不是机构管理员,则必须是分配了 User Access administrator 角色的用户的成员。
- 您已启动了 Create role 向导。
- 您位于向导中的 Add permissions 步骤。
流程
- 在 Add permissions 窗口中,点 Filter by application 字段。
- 输入应用程序名称的第一个几个字母来选择应用程序。向导显示该应用的匹配权限。
- (可选)使用导航工具滚动可用应用程序和权限列表。
- 点击特定于应用程序的角色的权限旁边的复选框。
- 点 Next 按钮查看详情。您可以点击 Submit 按钮来提交角色,返回 以返回并进行更改,或者取消该操作的 Cancel 按钮。
2.8.5. 创建成本管理应用程序角色
您可以创建一个特定于成本管理应用程序的角色。当您创建成本管理角色时,您可以为该角色定义成本管理资源定义。其他应用程序角色不提供该选择。
先决条件
- 已安装并配置成本管理 Operator。
- 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console。
- 如果您不是机构管理员,则必须是分配了 User Access administrator 角色的用户的成员。
- 至少配置一个源以成本管理。
- 您已启动了 Create role 向导。
流程
这个步骤描述了如何从头开始创建带有成本管理权限的角色。
- 在 Create role 窗口中,单击单选按钮 从头创建角色。
- 输入 角色名称 (必需)和角色 描述 (可选)。
- 点 Next 按钮显示 Add permissions 窗口。
-
在 Filter by application 字段中输入
cost,以显示成本管理应用程序并点击 Cost -management 复选框。 - 出现 Add permissions 窗口时,点角色中包含的每个成本管理权限的复选框。
- 单击 Next 按钮,以显示 定义成本管理资源 窗口。
- 您将看到添加到角色的每个应用程序权限的可用资源 定义 下拉列表。您必须点每个成本管理权限中至少有一个资源的复选框。
- 点 Next 按钮查看详情。您可以点击 Submit 按钮来提交角色,返回 以返回并进行更改,或者取消该操作的 Cancel 按钮。
2.8.5.1. 从头开始创建角色的成本管理示例
先决条件
- 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console。
- 如果您不是机构管理员,则必须是分配了 User Access administrator 角色的用户的成员。
- 至少配置一个源以成本管理。
- 您已启动了 Create role 向导。
流程
- 启动 Create role 向导,再点 Create a role from scratch。
-
输入
AWS Org Unit Cost Viewer作为 角色名称,然后点 Submit 按钮。不需要描述。 -
在 Filter by application 字段中输入
cost,以显示成本管理应用程序并点击 Cost -management 复选框。 -
点包含
aws.organizational_unit的行的复选框,然后点 Next 按钮显示权限可用资源 定义 的下拉列表。 - 点 资源定义 列表中列出的至少一个资源的复选框,然后点 Next 按钮来查看详情。
- 在检查了此角色的详细信息(显示权限和资源定义)后,点 Submit 按钮以提交角色。
2.8.6. 编辑自定义角色名称
您可以从主角色页面或从 Permissions 页面更改自定义角色的名称。
先决条件
- * 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console。
- 如果您不是机构管理员,则必须是分配了 User Access administrator 角色的用户的成员。
- 一个或多个自定义角色必须存在。
流程
-
进入到 Red Hat Hybrid Cloud Console > Settings 菜单(gear icon) > Identity & Access Management > User Access > Roles。此时会出现 Roles 窗口。在 Roles 窗口中,自定义角色具有其名称右侧的
(更多选项)。
-
点击
(更多选项)。
- 点 Edit 以更改角色名称或描述。
点 Delete 以删除自定义角色。
提示您还可以点角色名称打开 Permissions 窗口,然后点击角色名称右侧的
(更多选项)来访问 Edit 和 Delete 操作。
- 此时会出现确认窗口。确认无法撤销此操作后,会删除自定义角色。
2.8.7. 从自定义角色中删除权限
您可以从自定义角色中删除权限。
先决条件
- 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console。
- 如果您不是机构管理员,则必须是分配了 User Access administrator 角色的用户的成员。
- 一个或多个自定义角色必须存在。
流程
-
进入到 Red Hat Hybrid Cloud Console > Settings 菜单(gear icon) > Identity & Access Management > User Access > Roles。此时会出现 Roles 窗口。在 Roles 窗口中,自定义角色具有其名称右侧的
(更多选项)。
- 点自定义角色名称打开 Permissions 窗口。
-
在 Permissions 列表中,点应用程序权限名称右侧的
(更多选项)并点 Remove。
- 此时会出现确认窗口。单击 Remove permissions。
2.8.8. 恢复默认访问组
您可以根据红帽提供的,将 Default 访问 组恢复到其状态。当您这样做时,自定义默认访问组 也会与该组所做的任何更改一起删除。
当恢复 Default access 组时,无法恢复 Custom default access 组。
恢复默认访问组 的原因:
- 您对未预期的 Default 访问 组进行了更改。
- 您希望从 Default access group 开始。
- 您要删除 Custom default access 组。
- 您需要获取红帽服务推送的 Default 访问 组的更改,并取消 自定义默认访问组。
系统中的一个默认组( 默认访问组 或自定义默认访问组 )始终存在。
先决条件
- 以具有机构管理员权限的用户身份登录到 Red Hat Hybrid Cloud Console。
- 如果您不是机构管理员,则必须是分配了 User Access administrator 角色的用户的成员。
- 自定义默认访问 组必须存在。
流程
- 进入 Red Hat Hybrid Cloud Console > Settings 菜单(gear icon)> Identity & Access Management > User Access > Groups。此时会显示 Groups 页面。
- 在 Groups 页面中点 Custom default access。
-
点 Restore to default 并接受小心的信息。
Default access appears on the Groups 页面中。