Справочник ролей и привилегий#
Полная информация о встроенных ролях и привилегиях, на которых они основаны, необходима для понимания их назначения и создания собственных ролей в системе RBAC.
Встроенные роли делятся на два вида:
предоставляющие привилегии на все ресурсы определенного типа в пределах одной организации (в Automation Controller и Event-Driven Automation название такой роли начинается со слов Organization или Controller Organization);
предоставляющие привилегии по отношению к конкретному ресурсу.
Роли в Automation Controller#
Для настройки и применения Automation Controller используют роли, позволяющие управлять шаблонами заданий, проектами, описаниями инвентаря, полномочиями и другими ресурсами. Роль объединяет привилегии, необходимые для запуска, редактирования, делегирования привилегий и просмотра информацию о ресурсах.
Automation Controller предоставляет следующие виды встроенных ролей:
Controller System Auditor – системная роль, предоставляющая глобальный доступ на просмотр всех ресурсов Automation Controller без права изменения;
роль, предоставляющая административные привилегии на определенный тип ресурсов в рамках конкретной организации;
роль, предоставляющая определенные привилегии на заданный ресурс.
Роли на типы ресурсов#
Каждая из перечисленных ролей предоставляет полные административные привилегии на определенный тип ресурсов внутри заданной организации:
Роль |
Описание |
|---|---|
Organization Admin, Controller Organization Admin |
Полный контроль над организацией и всеми ее ресурсами |
Organization Approval |
Согласование действий в узлах графов, представляющих потоки заданий |
Organization Audit |
Просмотр ресурсов |
Organization Credential Admin |
Управление полномочиями |
Organization Execute |
Запуск исполняемых объектов |
Organization ExecutionEnvironment Admin |
Управление средами исполнения |
Organization Inventory Admin |
Управление инвентарными списками |
Organization JobTemplate Admin |
Управление шаблонами заданий |
Organization Member, Controller Organization Member |
Использование назначенных ресурсов |
Organization NotificationTemplate Admin |
Управление шаблонами уведомлений |
Organization Project Admin |
Управление проектами |
Organization WorkflowJobTemplate Admin |
Управление шаблонами потока заданий |
Роли на определенный ресурс#
Каждая из следующих ролей предоставляет привилегии только на один определенный ресурс:
Роль |
Описание |
|---|---|
Credential Admin |
Все привилегии по отношению к заданному полномочию |
Credential Use |
Использование полномочия |
ExecutionEnvironment Admin |
Управление средой исполнения |
InstanceGroup Admin |
Управление группой исполняющих узлов |
InstanceGroup Use |
Использование группы исполняющих узлов |
Inventory Adhoc |
Выполнение одиночных команд для заданного инвентаря |
Inventory Admin |
Управление инвентарным списком |
Inventory Update |
Обновление инвентарного списка |
Inventory Use |
Использование инвентарного списка при запуске заданий |
JobTemplate Admin |
Управление шаблоном задания |
JobTemplate Execute |
Запуск шаблона задания без возможности редактирования |
NotificationTemplate Admin |
Управление шаблоном уведомлений |
Project Admin |
Управление проектом |
Project Update |
Запуск обновления проекта (SCM Sync) |
Project Use |
Использование проекта в шаблонах заданий |
Team Admin, Controller Team Admin |
Управление командой |
Team Member, Controller Team Member |
Наследование привилегий, назначенных команде |
WorkflowJobTemplate Admin |
Управление шаблоном потока заданий |
WorkflowJobTemplate Execute |
Запуск шаблона потока заданий без возможности редактирования |
WorkflowJobTemplate Approve |
Одобрение или отклонение запуска шаблона потока заданий, если включено подтверждение |
Роли в Private Automation Hub#
В компоненте Private Automation Hub ролевое управление регулирует доступ к коллекциям, контейнерам и пространствам имен. Роли определяют, кто может публиковать, изменять, модерировать и использовать контент.
В компоненте Private Automation Hub роли можно разделить на два вида:
системная роль, действующая на уровне всего Private Automation Hub;
ресурсная роь, назначающаяся на конкретный ресурс.
Системные роли#
К системным относятся следующие роли:
Роль |
Описание |
|---|---|
galaxy.content_admin |
Полный контроль над всеми типами контента в Private Automation Hub |
galaxy.collection_admin |
Все привилегии по управлению коллекциями в Private Automation Hub |
galaxy.collection_curator |
Согласование, отмена и синхронизация коллекций из внешних репозиториев. |
galaxy.execution_environment_admin |
Управление всеми средами исполнения |
Роли на определенный ресурс#
Каждая из следующих ролей предоставляет привилегии только на один определенный ресурс:
Роль |
Описание |
|---|---|
galaxy.ansible_repository_owner |
Управление репозиторием Ansible |
galaxy.collection_remote_owner |
Управление взаимодействием с внешним реестром |
galaxy.execution_environment_publisher |
Публикация образов среды исполнения и управление ими |
galaxy.execution_environment_namespace_owner |
Полный контроль над средой исполнения в пределах пространства имен |
galaxy.execution_environment_collaborator |
Изменение существующей среды исполнения |
galaxy.collection_namespace_owner |
Управление пространством имен |
galaxy.collection_publisher |
Добавление коллекций в пространство имен |
Team Admin |
Управление одной командой и наследование всех назначения ролей этой команды |
Team Member, Galaxy Team Member |
Наследование привилегий, назначенных команде |
Роли в Event-Driven Automation#
В компоненте Event-Driven Automation роли управляют объектами автоматизации: активациями, проектами, окружениями принятия решений и потоками событий.
Роли на типы ресурсов#
Каждая из перечисленных ролей предоставляет полные административные привилегии на определенный тип ресурсов внутри заданной организации:
Роль |
Описание |
|---|---|
Organization Activation Admin |
Управление активациями сводов правил |
Organization Admin |
Полный контроль над организацией и всеми ее ресурсами |
Organization Auditor |
Просмотр ресурсов |
Organization Contributor |
Создание, изменение ресурсов организации, а также управление активациями сводов правил |
Organization Decision Environment Admin |
Управление средами принятия решений |
Organization Eda Credential Admin |
Управление полномочиями Event-Driven Automation |
Organization Editor |
Создание и изменение ресурсов |
Organization Event Stream Admin |
Управление потоками событий |
Organization Member |
Участник организации с доступом к ее ресурсам |
Organization Operator |
Управление запуском активаций и просмотр ресурсов |
Organization Project Admin |
Управление проектами |
Organization Viewer |
Просмотр ресурсов организации |
Роли на определенный ресурс#
Каждая из следующих ролей предоставляет привилегии только на один определенный ресурс:
Роль |
Описание |
|---|---|
Activation Admin |
Управление активации свода правил и связанными с ней ресурсами |
Activation Use |
Использование активации свода правил |
Decision Environment Admin |
Управление средой принятия решений |
Decision Environment Use |
Использование среды принятия решений |
EDA Credential Admin |
Управление полномочиями Event-Driven Automation |
EDA Credential Use |
Использование полномочий Event-Driven Automation |
Event Stream Admin |
Управление потоком событий |
Event Stream Use |
Использование потока событий |
Project Admin |
Управление проектом и связанными сводами правил |
Project Use |
Использование проекта при создании активаций сводов правил |
Team Admin |
Управление командой |
Team Member |
Наследование привилегий, назначенных команде |
Привилегии Automation Controller#
Ниже приведены привилегии Automation Controller, предоставляемые ими действия и связанные роли.
Привилегии организации#
Привилегии организации определяют доступ к управлению организацией и членству в ней.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add organization |
Создание |
System Administrator |
View organization |
Просмотр |
Organization Admin, Organization Member, System Auditor |
Change organization |
Изменение |
Organization Admin |
Delete organization |
Удаление |
System Administrator |
Member organization |
Членство в организации |
Organization Member, Organization Execute |
Привилегии проекта#
Привилегии проекта определяют доступ к управлению проектом и его использованию.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add project |
Создание |
Organization Admin |
View project |
Просмотр |
Organization Admin, Organization Member, Project Admin, System Auditor |
Change project |
Изменение |
Organization Admin, Project Admin |
Delete project |
Удаление |
Organization Admin, Project Admin |
Use project |
Использование в шаблоне заданий |
Organization Admin, Project Use, JobTemplate Admin |
Update project |
Синхронизация |
Organization Admin, Project Admin |
Привилегии шаблона задания#
Привилегии шаблона задания определяют доступ к управлению им.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
View job template |
Просмотр |
Organization Admin, Organization Member, JobTemplate Admin, System Auditor |
Change job template |
Изменение |
Organization Admin, JobTemplate Admin |
Delete job template |
Удаление |
Organization Admin, JobTemplate Admin |
Execute job template |
Запуск задания |
Organization Admin, Organization Execute, JobTemplate Admin, JobTemplate Execute |
Привилегии инвентаря#
Привилегии инвентаря определяют доступ к описанию инвентаря и использованию его в шаблонах заданий.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add inventory |
Создание |
Organization Admin |
View inventory |
Просмотр |
Organization Admin, Organization Member, Inventory Admin, System Auditor |
Change inventory |
Изменение |
Organization Admin, Inventory Admin |
Delete inventory |
Удаление |
Organization Admin, Inventory Admin |
Use inventory |
Использование в JobTemplate |
Organization Admin, Inventory Use, JobTemplate Admin |
Ad hoc inventory |
Выполнение одиночных команд |
Organization Admin, Inventory Admin |
Привилегии полномочий#
Привилегии полномочий определяют доступ к управлению ими и использованию в шаблонах заданий.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add credential |
Создание |
Organization Admin |
View credential |
Просмотр |
Organization Admin, Organization Member, Credential Admin, System Auditor |
Change credential |
Изменение |
Organization Admin, Credential Admin |
Delete credential |
Удаление |
Organization Admin, Credential Admin |
Use credential |
Использование в JobTemplate |
Organization Admin, Credential Use, JobTemplate Admin |
Привилегии среды исполнения#
Привилегии среды исполнения определяют доступ к управлению ее параметрами и использованию в шаблонах заданий.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add execution environment |
Создание |
Organization Admin |
View execution environment |
Просмотр |
Organization Admin, Organization Member, ExecutionEnvironment Admin, System Auditor |
Change execution environment |
Изменение |
Organization Admin, ExecutionEnvironment Admin |
Delete execution environment |
Удаление |
Organization Admin, ExecutionEnvironment Admin |
Use execution environment |
Использование в JobTemplate |
Organization Admin, ExecutionEnvironment Use, JobTemplate Admin |
Привилегии команды#
Эти привилегии определяют доступ к возможности управления командами и членству в них.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add team |
Создание команд |
Organization Admin |
View team |
Просмотр команд |
Organization Admin, Organization Member, Team Admin, System Auditor |
Change team |
Изменение команды |
Organization Admin, Team Admin |
Delete team |
Удаление команды |
Organization Admin, Team Admin |
Member team |
Управление членством |
Team Member |
Привилегии потоков заданий#
Эти привилегии определяют доступ к возможности управления потоками заданий, их запуску и согласованию узлов в графах потоков.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add workflow job template |
Создание |
Organization Admin |
View workflow job template |
Просмотр |
Organization Admin, Organization Member, Workflow Admin, System Auditor |
Change workflow job template |
Изменение |
Organization Admin, Workflow Admin |
Delete workflow job template |
Удаление |
Organization Admin, Workflow Admin |
Execute workflow job template |
Запуск |
Organization Admin, Organization Execute, Workflow Admin, Workflow Execute |
Approve workflow job template |
Согласование узлов графа |
Organization Admin, Workflow Approver |
Привилегии задания#
Эти привилегии определяют доступ к возможности управления историей выполнения заданий и отмены их выполнения.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
View job |
Просмотр истории выполнения заданий |
Organization Admin, Organization Member, JobTemplate Admin, System Auditor |
Delete job |
Удаление заданий из истории выполнения заданий |
Organization Admin |
Cancel job |
Отмена выполнения |
Organization Admin, JobTemplate Admin |
Привилегии Private Automation Hub#
Ниже приведены привилегии Private Automation Hub предоставляемые ими действия и связанные роли. Private Automation Hub использует как глобальные привилегии, так и привилегии, привязанные к конкретным объектам (namespace, repository, container namespace и другие).
Глобальные привилегии#
Глобальные привилегии действуют на уровне всего Private Automation Hub и не привязаны к конкретным объектам.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
galaxy.add_namespace |
Создание пространств имен |
content_admin, collection_admin |
galaxy.change_namespace |
Изменение пространств имен |
content_admin, collection_admin, curator |
galaxy.delete_namespace |
Удаление пространств имен |
content_admin, collection_admin |
galaxy.add_ansiblerepository |
Создание репозитория коллекций |
content_admin, collection_admin |
galaxy.change_ansiblerepository |
Изменение репозитория |
content_admin, collection_admin, ansible_repository_owner |
galaxy.delete_ansiblerepository |
Удаление репозитория |
content_admin, collection_admin, ansible_repository_owner |
galaxy.sign_ansiblerepository |
Подпись репозитория |
content_admin, collection_admin, ansible_repository_owner |
galaxy.repair_ansiblerepository |
Восстановление репозитория |
content_admin, collection_admin, ansible_repository_owner |
galaxy.modify_ansible_repo_content |
Управление содержимым репозитория |
content_admin, collection_admin, curator, ansible_repository_owner |
galaxy.manage_roles_ansiblerepository |
Управление ролями репозитория |
content_admin, collection_admin, ansible_repository_owner |
Привилегии пространств имен#
Эти привилегии определяют доступ к управлению пространствами имен и публикации коллекций в их рамках.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Upload to namespace |
Публикация коллекций |
galaxy.collection_namespace_owner, galaxy.collection_publisher |
Manage roles namespace |
Управление ролями пространств имен |
galaxy.collection_namespace_owner |
View namespace |
Просмотр пространств имен |
galaxy.content_admin, galaxy.collection_admin, galaxy.collection_curator, galaxy.collection_namespace_owner |
Привилегии внешних репозиториев#
Эти привилегии определяют доступ к управлению внешними репозиториями.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Change collection remote |
Изменение |
galaxy.collection_remote_owner |
Delete collection remote |
Удаление |
galaxy.collection_remote_owner |
Manage remote roles |
Управление ролями |
galaxy.collection_remote_owner |
View collection remote |
Просмотр |
galaxy.collection_remote_owner |
Привилегии сред исполнения#
Эти привилегии определяют доступ к управлению средами исполнения.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
galaxy.namespace_push_containerdistribution |
Публикация образа среды исполнения |
galaxy.execution_environment_publisher |
galaxy.namespace_pull_containerdistribution |
Загрузка образа среды исполнения |
galaxy.execution_environment_collaborator |
galaxy.namespace_change_containerdistribution |
Изменение образа среды исполнения |
galaxy.execution_environment_collaborator |
galaxy.manage_roles_containernamespace |
Управление ролями container namespace |
galaxy.execution_environment_namespace_owner |
galaxy.change_containernamespace |
Изменение container namespace |
galaxy.execution_environment_namespace_owner |
Delete container namespace |
Удаление container namespace |
galaxy.execution_environment_namespace_owner |
Привилегии репозитория коллекций#
Эти привилегии определяют доступ к управлению репозиториями коллекций (Ansible Repository).
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
galaxy.view_ansiblerepository |
Просмотр репозитория |
content_admin, collection_admin, curator, ansible_repository_owner |
galaxy.change_ansiblerepository |
Изменение параметров репозитория |
content_admin, collection_admin, ansible_repository_owner |
galaxy.delete_ansiblerepository |
Удаление репозитория |
content_admin, collection_admin, ansible_repository_owner |
galaxy.manage_roles_ansiblerepository |
Управление ролями репозитория |
content_admin, collection_admin, ansible_repository_owner |
galaxy.modify_ansible_repo_content |
Управление содержимым репозитория |
content_admin, collection_admin, curator, ansible_repository_owner |
galaxy.rebuild_ansiblerepository_metadata |
Пересборка метаданных репозитория |
content_admin, collection_admin, ansible_repository_owner |
galaxy.repair_ansiblerepository |
Восстановление репозитория |
content_admin, collection_admin, ansible_repository_owner |
galaxy.sign_ansiblerepository |
Подпись репозитория |
content_admin, collection_admin, ansible_repository_owner |
galaxy.sync_ansiblerepository |
Синхронизация репозитория |
content_admin, collection_admin, ansible_repository_owner |
Привилегии Event-Driven Automation#
Ниже приведены привилегии Event-Driven Automation, предоставляемые ими действия и связанные роли.
Привилегии организации#
Эти привилегии определяют доступ к возможности управления организациями в Event-Driven Automation.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add organization |
Создание |
System Admin |
View organization |
Просмотр |
Organization Admin, Organization Viewer |
Change organization |
Изменение |
Organization Admin |
Delete organization |
Удаление |
System Admin |
Привилегии проекта#
Эти привилегии определяют доступ к возможности управления проектом и его обновления в Event-Driven Automation.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add project |
Создание |
Organization Admin |
View project |
Просмотр |
Organization Admin, Project Viewer |
Change project |
Изменение |
Project Admin |
Delete project |
Удаление |
Project Admin |
Sync project |
Синхронизация |
Project Admin |
Привилегии активации сводов правил#
Эти привилегии определяют доступ к возможности управления активациями сводов правил.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add activation |
Создание |
Project Admin |
View activation |
Просмотр |
Project Viewer |
Change activation |
Изменение |
Project Admin |
Delete activation |
Удаление |
Project Admin |
Enable activation |
Включение |
|
Disable activation |
Отключение |
|
Restart activation |
Перезапуск |
Привилегии потока событий#
Эти привилегии определяют доступ к возможности управления потоками событий.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add event stream |
Создание |
Organization Admin |
View event stream |
Просмотр |
Organization Viewer |
Change event stream |
Изменение |
Organization Admin |
Delete event stream |
Удаление |
Organization Admin |
Привилегии полномочий#
Эти привилегии определяют доступ к возможности управления полномочиями в Event-Driven Automation.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add credential |
Создание |
Organization Admin |
View credential |
Просмотр |
Organization Viewer |
Change credential |
Изменение |
Credential Admin |
Delete credential |
Удаление |
Credential Admin |