1.3. 如何使用用户访问
User Access 功能基于管理角色,而不是单独为特定用户分配权限。在 User Access 中,每个角色都有一组特定的权限。例如,角色可能允许应用程序的读取权限。另一个角色可能允许应用程序的写入权限。
您可以创建包含角色和扩展名的组,以为每个角色分配权限。您可以将用户分配给组。这意味着,为组中的每个用户分配该组中角色的权限。
通过创建不同的组并为该组添加或删除角色,您可以控制该组允许的权限。将一个或多个用户添加到组中时,这些用户可以执行该组允许的所有操作。
红帽为用户访问提供了两个默认访问组:
- 默认 admin 访问 组。Default admin 访问权限 组仅限于您所在机构的机构管理员用户。您不能更改或修改 Default admin 访问 组中的角色。
默认访问组。Default 访问 组包含您的机构中的所有经过身份验证的用户。这些用户会自动继承预定义角色的选择。
注意您可以对 Default 访问 组进行更改。但是,当您这样做时,其名称会更改为 Custom default access group。
红帽提供了一组预定义的角色。根据应用程序,每个支持的应用程序的预定义角色可能会有针对应用程序量身定制的不同权限。
1.3.1. 默认管理员访问 组
默认 admin 访问 组由红帽在 Red Hat Hybrid Cloud Console 上提供。它包含一组分配给系统上具有机构管理员角色的用户的角色。此组中的角色在 Red Hat Hybrid Cloud Console 中进行了预定义。
Default admin 访问 组中的角色不能添加到或修改中。由于此组由红帽提供,因此当红帽为 Default admin 访问权限 组分配角色时,它会自动更新。
Default admin 访问权限 组的好处是它允许自动为机构管理员分配角色。
如需角色,请参阅 预定义的用户 访问角色。
1.3.2. Default 访问 组
默认访问组 由红帽在 Red Hat Hybrid Cloud Console 上提供。它包含一组在 Red Hat Hybrid Cloud Console 中预定义的角色。Default 访问 组包含您机构中的所有经过身份验证的用户。当在 Red Hat Hybrid Cloud Console 中添加 Default access 组角色时,Default access 组会自动更新。
Default 访问 组包含所有预定义的角色的子集。如需更多信息,请参阅 预定义的用户访问角色 部分。
作为机构管理员,您可以将角色添加到 默认访问组中,并从 Default 访问 组中删除角色。当您这样做时,其名称会更改为 Custom default access group。您对此组所做的更改会影响您机构中的所有经过身份验证的用户。
1.3.3. 自定义默认访问组
手动修改 Default 访问组时,其名称会更改为 Custom default access,这表示它已被修改。此外,它不再从 Red Hat Hybrid Cloud Console 自动更新。
从现在起,机构管理员负责所有更新和对 自定义默认访问组 的更改。该组不再由 Red Hat Hybrid Cloud Console 管理或更新。
您不能删除 Default access group 或 Custom default access 组。
您可以恢复 Default 访问 组,这将删除 自定义默认 访问组以及您所做的任何更改。请参阅恢复默认访问组。
1.3.4. User Access groups、role 和 permissions
用户访问使用以下类别来确定机构管理员可授予受支持的 Red Hat Hybrid Cloud Console 服务的用户访问权限级别。提供给任何授权用户的访问权限取决于用户所属的组以及分配给该组的角色。
- 组 :属于帐户的用户集合,它提供角色映射到用户的映射。机构管理员可以使用组来为组分配一个或多个角色,并在组中包含一个或多个用户。您可以创建没有角色的组,且没有用户。
- 角色 :一组提供对给定服务的访问权限的权限,如 Insights。执行某些操作的权限被分配给特定的角色。角色分配到组。例如,您可能具有服务的 read 角色和 write 角色。将这两个角色添加到组会授予该组的所有成员对该服务进行读写权限。
- 权限 :可以请求的离散操作。权限分配给角色。
机构管理员向组添加或删除角色和用户。组可以是由机构管理员创建的新组,也可以是组可以是现有的组。通过创建包含一个或多个特定角色的组,然后将用户添加到该组中,您可以控制该组及其成员如何与 Red Hat Hybrid Cloud Console 服务交互。
当您将用户添加到组中时,他们将成为该组的成员。组成员继承其所属的所有其他组的角色。用户界面在 Members 选项卡中列出用户。
1.3.5. 添加访问
Red Hat Hybrid Cloud Console 上的用户访问使用额外的模型,这意味着没有 拒绝 角色。换句话说,仅允许操作。若要控制访问权限,请为组分配具有所需权限的适当角色,然后将用户添加到这些组中。允许任何单个用户的访问权限是分配给该用户所属的所有组的所有角色的总和。
1.3.6. 访问结构
以下是用户访问的用户访问结构的概述:
- 组 :用户可以是一个或多个组的成员。
- 角色 :可以将角色添加到一个或多个组中。
- 权限 :可以为角色分配一个或多个权限。
在初始默认配置中,所有 User Access 帐户用户都会继承 Default 访问组中提供的角色。
添加到组的任何用户都必须是 Red Hat Hybrid Cloud Console 上机构帐户的经过身份验证的用户。