Разграничение доступа#
В Private Automation Hub используется разграничение доступа на основе ролей (RBAC).
Привилегии и роли#
Привилегия это разрешение на доступ к определенному типу ресурсов или выполнение операции с ним.
Например, привилегия View collection remote предоставляет разрешение на просмотр внешних репозиториев коллекций.
Изменить существующие привилегии или создать новые нельзя.
Роль – это набор привилегий.
Роли могут быть встроенными и пользовательскими.
Встроенные роли нельзя изменить или удалить.
Полный список встроенных ролей и их описание доступны в справочнике.
Пользовательские роли могут быть созданы, изменены и удалены администраторами Private Automation Hub.
Требования к названию пользовательской роли:
начинается с префикса
galaxy.;может содержать только символы латинского алфавита, цифры, точки и символы подчеркивания;
уникальность на уровне Private Automation Hub.
Группы#
Группа может быть связана с одной или несколькими ролями.
Важно
Группы могут быть связаны только с ролями, названия которых начинаются с префикса galaxy..
Участникам группы предоставляются привилегии, связанные со всеми ролями группы.
Пользователи#
Необходимые привилегии можно предоставить пользователю следующими способами:
Установить флаг суперпользователя.
Флаг суперпользователя дает полный доступ ко всем ресурсам Private Automation Hub. Снять флаг суперпользователя с самого себя нельзя.
Сделать пользователя участником группы с нужной ролью.
Пример#
Рассмотрим связь пользователей, групп, ролей и привилегий на примере. Пусть имеются следующие ресурсы:
один пользователь, не являющийся суперпользователем;
две группы,
AlphaиBeta;четыре роли,
Role 1–Role 4;восемь привилегий,
A–H.
Роли предоставляют следующие привилегии:
Role 1–A,B.Role 2–C,D,E.Role 3–F,G;Role 4–H.
Группа Alpha связана с ролями Role 1 и Role 2, а группа Beta – с ролями Role 3 и Role 4.
Пользователь является участником обеих групп, а значит, он получает привилегии всех связанных с ними ролей, от A до H включительно.