Справочник ролей и привилегий#
Полная информация о встроенных ролях и привилегиях, на которых они основаны, необходима для понимания их назначения и создания собственных ролей в системе RBAC.
Встроенные роли делятся на два вида:
предоставляющие привилегии на все ресурсы определенного типа в пределах одной организации (в Automation Controller и Event-Driven Automation название такой роли начинается со слов Organization или Controller Organization);
предоставляющие привилегии по отношению к конкретному ресурсу.
Роли в Automation Controller#
Для настройки и применения Automation Controller используют роли, позволяющие управлять шаблонами заданий, проектами, описаниями инвентаря, полномочиями и другими ресурсами. Роль объединяет привилегии, необходимые для запуска, редактирования, делегирования привилегий и просмотра информацию о ресурсах.
Automation Controller предоставляет следующие виды встроенных ролей:
Controller System Auditor – системная роль, предоставляющая глобальный доступ на просмотр всех ресурсов Automation Controller без права изменения;
роль, предоставляющая административные привилегии на определенный тип ресурсов в рамках конкретной организации;
роль, предоставляющая определенные привилегии на заданный ресурс.
Примечание
В Automation Controller могут встречаться роли с одинаковым набором привилегий, но различающиеся по названию, например, Organization Admin и Controller Organization Admin.
Различие между ними носит исторический характер:
Роли с префиксом Controller использовались в предыдущих версиях платформы и сохраняются для обратной совместимости.
Роли без этого префикса являются актуальными и рекомендуются для использования в новых конфигурациях.
При этом не все роли имеют такие пары. Например, роль Controller System Auditor не имеет прямого аналога без префикса и используется как отдельная системная роль.
При настройке доступа рекомендуется выбирать из дублирующих пар роли без префикса Controller, если иное не требуется для поддержки существующих конфигураций или сценариев миграции.
Роли на типы ресурсов#
Каждая из перечисленных ролей предоставляет полные административные привилегии на определенный тип ресурсов внутри заданной организации:
Роль |
Описание |
|---|---|
Organization Admin |
Полный контроль над организацией и всеми ее ресурсами (актуальная роль) |
Controller Organization Admin |
Полный контроль над организацией и всеми ее ресурсами (устаревшая роль, сохранена для обратной совместимости) |
Organization Approval |
Согласование действий в узлах графов, представляющих потоки заданий |
Organization Audit |
Просмотр ресурсов |
Organization Credential Admin |
Управление полномочиями |
Organization Execute |
Запуск исполняемых объектов |
Organization ExecutionEnvironment Admin |
Управление средами исполнения |
Organization Inventory Admin |
Управление инвентарными списками |
Organization JobTemplate Admin |
Управление шаблонами заданий |
Organization Member |
Использование назначенных ресурсов (актуальная роль) |
Controller Organization Member |
Использование назначенных ресурсов (устаревшая роль, сохранена для обратной совместимости) |
Organization NotificationTemplate Admin |
Управление шаблонами уведомлений |
Organization Project Admin |
Управление проектами |
Organization WorkflowJobTemplate Admin |
Управление шаблонами потока заданий |
Роли на определенный ресурс#
Каждая из следующих ролей предоставляет привилегии только на один определенный ресурс:
Роль |
Описание |
|---|---|
Credential Admin |
Все привилегии по отношению к заданному полномочию |
Credential Use |
Использование полномочия |
ExecutionEnvironment Admin |
Управление средой исполнения |
InstanceGroup Admin |
Управление группой исполняющих узлов |
InstanceGroup Use |
Использование группы исполняющих узлов |
Inventory Adhoc |
Выполнение одиночных команд для заданного инвентаря |
Inventory Admin |
Управление инвентарным списком |
Inventory Update |
Обновление инвентарного списка |
Inventory Use |
Использование инвентарного списка при запуске заданий |
JobTemplate Admin |
Управление шаблоном задания |
JobTemplate Execute |
Запуск шаблона задания без возможности редактирования |
NotificationTemplate Admin |
Управление шаблоном уведомлений |
Project Admin |
Управление проектом |
Project Update |
Запуск обновления проекта (SCM Sync) |
Project Use |
Использование проекта в шаблонах заданий |
Team Admin |
Управление командой (актуальная роль) |
Controller Team Admin |
Управление командой (устаревшая роль, сохранена для обратной совместимости) |
Team Member |
Наследование привилегий, назначенных команде (актуальная роль) |
Controller Team Member |
Наследование привилегий, назначенных команде (устаревшая роль, сохранена для обратной совместимости) |
WorkflowJobTemplate Admin |
Управление шаблоном потока заданий |
WorkflowJobTemplate Execute |
Запуск шаблона потока заданий без возможности редактирования |
WorkflowJobTemplate Approve |
Одобрение или отклонение запуска шаблона потока заданий, если включено подтверждение |
Роли в Private Automation Hub#
В компоненте Private Automation Hub ролевое управление регулирует доступ к коллекциям, контейнерам и пространствам имен. Роли определяют, кто может публиковать, изменять, модерировать и использовать контент.
В компоненте Private Automation Hub роли можно разделить на два вида:
системная роль, действующая на уровне всего Private Automation Hub;
ресурсная роль, назначающаяся на конкретный ресурс.
Системные роли#
К системным относятся следующие роли:
Роль |
Описание |
|---|---|
galaxy.content_admin |
Полный контроль над всеми типами контента в Private Automation Hub |
galaxy.collection_admin |
Все привилегии по управлению коллекциями в Private Automation Hub |
galaxy.collection_curator |
Согласование, отмена и синхронизация коллекций из внешних репозиториев. |
galaxy.execution_environment_admin |
Управление всеми средами исполнения |
Роли на определенный ресурс#
Каждая из следующих ролей предоставляет привилегии только на один определенный ресурс:
Роль |
Описание |
|---|---|
galaxy.ansible_repository_owner |
Управление репозиторием Ansible |
galaxy.collection_remote_owner |
Управление взаимодействием с внешним реестром |
galaxy.execution_environment_publisher |
Публикация образов среды исполнения и управление ими |
galaxy.execution_environment_namespace_owner |
Полный контроль над средой исполнения в пределах пространства имен |
galaxy.execution_environment_collaborator |
Изменение существующей среды исполнения |
galaxy.collection_namespace_owner |
Управление пространством имен |
galaxy.collection_publisher |
Добавление коллекций в пространство имен |
Team Admin |
Управление одной командой и наследование всех назначения ролей этой команды |
Team Member, Galaxy Team Member |
Наследование привилегий, назначенных команде |
Роли в Event-Driven Automation#
В компоненте Event-Driven Automation роли управляют объектами автоматизации: активациями, проектами, окружениями принятия решений и потоками событий.
Роли на типы ресурсов#
Каждая из перечисленных ролей предоставляет полные административные привилегии на определенный тип ресурсов внутри заданной организации:
Роль |
Описание |
|---|---|
Organization Activation Admin |
Управление активациями сводов правил |
Organization Admin |
Полный контроль над организацией и всеми ее ресурсами |
Organization Auditor |
Просмотр ресурсов |
Organization Contributor |
Создание, изменение ресурсов организации, а также управление активациями сводов правил |
Organization Decision Environment Admin |
Управление средами принятия решений |
Organization Eda Credential Admin |
Управление полномочиями Event-Driven Automation |
Organization Editor |
Создание и изменение ресурсов |
Organization Event Stream Admin |
Управление потоками событий |
Organization Member |
Участник организации с доступом к ее ресурсам |
Organization Operator |
Управление запуском активаций и просмотр ресурсов |
Organization Project Admin |
Управление проектами |
Organization Viewer |
Просмотр ресурсов организации |
Роли на определенный ресурс#
Каждая из следующих ролей предоставляет привилегии только на один определенный ресурс:
Роль |
Описание |
|---|---|
Activation Admin |
Управление активации свода правил и связанными с ней ресурсами |
Activation Use |
Использование активации свода правил |
Decision Environment Admin |
Управление средой принятия решений |
Decision Environment Use |
Использование среды принятия решений |
EDA Credential Admin |
Управление полномочиями Event-Driven Automation |
EDA Credential Use |
Использование полномочий Event-Driven Automation |
Event Stream Admin |
Управление потоком событий |
Event Stream Use |
Использование потока событий |
Project Admin |
Управление проектом и связанными сводами правил |
Project Use |
Использование проекта при создании активаций сводов правил |
Team Admin |
Управление командой |
Team Member |
Наследование привилегий, назначенных команде |
Привилегии Automation Controller#
Ниже приведены привилегии Automation Controller, предоставляемые ими действия и связанные роли.
Привилегии организации#
Привилегии организации определяют доступ к управлению организацией и членству в ней.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add organization |
Создание |
System Administrator |
View organization |
Просмотр |
Organization Admin, Organization Member, System Auditor |
Change organization |
Изменение |
Organization Admin |
Delete organization |
Удаление |
System Administrator |
Member organization |
Членство в организации |
Organization Member, Organization Execute |
Привилегии проекта#
Привилегии проекта определяют доступ к управлению проектом и его использованию.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add project |
Создание |
Organization Admin |
View project |
Просмотр |
Organization Admin, Organization Member, Project Admin, System Auditor |
Change project |
Изменение |
Organization Admin, Project Admin |
Delete project |
Удаление |
Organization Admin, Project Admin |
Use project |
Использование в шаблоне заданий |
Organization Admin, Project Use, JobTemplate Admin |
Update project |
Синхронизация |
Organization Admin, Project Admin |
Привилегии шаблона задания#
Привилегии шаблона задания определяют доступ к управлению им.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
View job template |
Просмотр |
Organization Admin, Organization Member, JobTemplate Admin, System Auditor |
Change job template |
Изменение |
Organization Admin, JobTemplate Admin |
Delete job template |
Удаление |
Organization Admin, JobTemplate Admin |
Execute job template |
Запуск задания |
Organization Admin, Organization Execute, JobTemplate Admin, JobTemplate Execute |
Привилегии инвентаря#
Привилегии инвентаря определяют доступ к описанию инвентаря и использованию его в шаблонах заданий.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add inventory |
Создание |
Organization Admin |
View inventory |
Просмотр |
Organization Admin, Organization Member, Inventory Admin, System Auditor |
Change inventory |
Изменение |
Organization Admin, Inventory Admin |
Delete inventory |
Удаление |
Organization Admin, Inventory Admin |
Use inventory |
Использование в JobTemplate |
Organization Admin, Inventory Use, JobTemplate Admin |
Ad hoc inventory |
Выполнение одиночных команд |
Organization Admin, Inventory Admin |
Привилегии полномочий#
Привилегии полномочий определяют доступ к управлению ими и использованию в шаблонах заданий.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add credential |
Создание |
Organization Admin |
View credential |
Просмотр |
Organization Admin, Organization Member, Credential Admin, System Auditor |
Change credential |
Изменение |
Organization Admin, Credential Admin |
Delete credential |
Удаление |
Organization Admin, Credential Admin |
Use credential |
Использование в JobTemplate |
Organization Admin, Credential Use, JobTemplate Admin |
Привилегии среды исполнения#
Привилегии среды исполнения определяют доступ к управлению ее параметрами и использованию в шаблонах заданий.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add execution environment |
Создание |
Organization Admin |
View execution environment |
Просмотр |
Organization Admin, Organization Member, ExecutionEnvironment Admin, System Auditor |
Change execution environment |
Изменение |
Organization Admin, ExecutionEnvironment Admin |
Delete execution environment |
Удаление |
Organization Admin, ExecutionEnvironment Admin |
Use execution environment |
Использование в JobTemplate |
Organization Admin, ExecutionEnvironment Use, JobTemplate Admin |
Привилегии команды#
Эти привилегии определяют доступ к возможности управления командами и членству в них.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add team |
Создание команд |
Organization Admin |
View team |
Просмотр команд |
Organization Admin, Organization Member, Team Admin, System Auditor |
Change team |
Изменение команды |
Organization Admin, Team Admin |
Delete team |
Удаление команды |
Organization Admin, Team Admin |
Member team |
Управление членством |
Team Member |
Привилегии потоков заданий#
Эти привилегии определяют доступ к возможности управления потоками заданий, их запуску и согласованию узлов в графах потоков.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add workflow job template |
Создание |
Organization Admin |
View workflow job template |
Просмотр |
Organization Admin, Organization Member, Workflow Admin, System Auditor |
Change workflow job template |
Изменение |
Organization Admin, Workflow Admin |
Delete workflow job template |
Удаление |
Organization Admin, Workflow Admin |
Execute workflow job template |
Запуск |
Organization Admin, Organization Execute, Workflow Admin, Workflow Execute |
Approve workflow job template |
Согласование узлов графа |
Organization Admin, Workflow Approver |
Привилегии задания#
Эти привилегии определяют доступ к возможности управления историей выполнения заданий и отмены их выполнения.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
View job |
Просмотр истории выполнения заданий |
Organization Admin, Organization Member, JobTemplate Admin, System Auditor |
Delete job |
Удаление заданий из истории выполнения заданий |
Organization Admin |
Cancel job |
Отмена выполнения |
Organization Admin, JobTemplate Admin |
Привилегии Private Automation Hub#
Ниже приведены привилегии Private Automation Hub предоставляемые ими действия и связанные роли. Private Automation Hub использует как глобальные привилегии, так и привилегии, привязанные к конкретным объектам (namespace, repository, container namespace и другие).
Глобальные привилегии#
Глобальные привилегии действуют на уровне всего Private Automation Hub и не привязаны к конкретным объектам.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
galaxy.add_namespace |
Создание пространств имен |
content_admin, collection_admin |
galaxy.change_namespace |
Изменение пространств имен |
content_admin, collection_admin, curator |
galaxy.delete_namespace |
Удаление пространств имен |
content_admin, collection_admin |
galaxy.add_ansiblerepository |
Создание репозитория коллекций |
content_admin, collection_admin |
galaxy.change_ansiblerepository |
Изменение репозитория |
content_admin, collection_admin, ansible_repository_owner |
galaxy.delete_ansiblerepository |
Удаление репозитория |
content_admin, collection_admin, ansible_repository_owner |
galaxy.sign_ansiblerepository |
Подпись репозитория |
content_admin, collection_admin, ansible_repository_owner |
galaxy.repair_ansiblerepository |
Восстановление репозитория |
content_admin, collection_admin, ansible_repository_owner |
galaxy.modify_ansible_repo_content |
Управление содержимым репозитория |
content_admin, collection_admin, curator, ansible_repository_owner |
galaxy.manage_roles_ansiblerepository |
Управление ролями репозитория |
content_admin, collection_admin, ansible_repository_owner |
Привилегии пространств имен#
Эти привилегии определяют доступ к управлению пространствами имен и публикации коллекций в их рамках.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Upload to namespace |
Публикация коллекций |
galaxy.collection_namespace_owner, galaxy.collection_publisher |
Manage roles namespace |
Управление ролями пространств имен |
galaxy.collection_namespace_owner |
View namespace |
Просмотр пространств имен |
galaxy.content_admin, galaxy.collection_admin, galaxy.collection_curator, galaxy.collection_namespace_owner |
Привилегии внешних репозиториев#
Эти привилегии определяют доступ к управлению внешними репозиториями.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Change collection remote |
Изменение |
galaxy.collection_remote_owner |
Delete collection remote |
Удаление |
galaxy.collection_remote_owner |
Manage remote roles |
Управление ролями |
galaxy.collection_remote_owner |
View collection remote |
Просмотр |
galaxy.collection_remote_owner |
Привилегии сред исполнения#
Эти привилегии определяют доступ к управлению средами исполнения.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
galaxy.namespace_push_containerdistribution |
Публикация образа среды исполнения |
galaxy.execution_environment_publisher |
galaxy.namespace_pull_containerdistribution |
Загрузка образа среды исполнения |
galaxy.execution_environment_collaborator |
galaxy.namespace_change_containerdistribution |
Изменение образа среды исполнения |
galaxy.execution_environment_collaborator |
galaxy.manage_roles_containernamespace |
Управление ролями container namespace |
galaxy.execution_environment_namespace_owner |
galaxy.change_containernamespace |
Изменение container namespace |
galaxy.execution_environment_namespace_owner |
Delete container namespace |
Удаление container namespace |
galaxy.execution_environment_namespace_owner |
Привилегии репозитория коллекций#
Эти привилегии определяют доступ к управлению репозиториями коллекций (Ansible Repository).
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
galaxy.view_ansiblerepository |
Просмотр репозитория |
content_admin, collection_admin, curator, ansible_repository_owner |
galaxy.change_ansiblerepository |
Изменение параметров репозитория |
content_admin, collection_admin, ansible_repository_owner |
galaxy.delete_ansiblerepository |
Удаление репозитория |
content_admin, collection_admin, ansible_repository_owner |
galaxy.manage_roles_ansiblerepository |
Управление ролями репозитория |
content_admin, collection_admin, ansible_repository_owner |
galaxy.modify_ansible_repo_content |
Управление содержимым репозитория |
content_admin, collection_admin, curator, ansible_repository_owner |
galaxy.rebuild_ansiblerepository_metadata |
Пересборка метаданных репозитория |
content_admin, collection_admin, ansible_repository_owner |
galaxy.repair_ansiblerepository |
Восстановление репозитория |
content_admin, collection_admin, ansible_repository_owner |
galaxy.sign_ansiblerepository |
Подпись репозитория |
content_admin, collection_admin, ansible_repository_owner |
galaxy.sync_ansiblerepository |
Синхронизация репозитория |
content_admin, collection_admin, ansible_repository_owner |
Привилегии Event-Driven Automation#
Ниже приведены привилегии Event-Driven Automation, предоставляемые ими действия и связанные роли.
Привилегии организации#
Эти привилегии определяют доступ к возможности управления организациями в Event-Driven Automation.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add organization |
Создание |
System Admin |
View organization |
Просмотр |
Organization Admin, Organization Viewer |
Change organization |
Изменение |
Organization Admin |
Delete organization |
Удаление |
System Admin |
Привилегии проекта#
Эти привилегии определяют доступ к возможности управления проектом и его обновления в Event-Driven Automation.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add project |
Создание |
Organization Admin |
View project |
Просмотр |
Organization Admin, Project Viewer |
Change project |
Изменение |
Project Admin |
Delete project |
Удаление |
Project Admin |
Sync project |
Синхронизация |
Project Admin |
Привилегии активации сводов правил#
Эти привилегии определяют доступ к возможности управления активациями сводов правил.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add activation |
Создание |
Project Admin |
View activation |
Просмотр |
Project Viewer |
Change activation |
Изменение |
Project Admin |
Delete activation |
Удаление |
Project Admin |
Enable activation |
Включение |
|
Disable activation |
Отключение |
|
Restart activation |
Перезапуск |
Привилегии потока событий#
Эти привилегии определяют доступ к возможности управления потоками событий.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add event stream |
Создание |
Organization Admin |
View event stream |
Просмотр |
Organization Viewer |
Change event stream |
Изменение |
Organization Admin |
Delete event stream |
Удаление |
Organization Admin |
Привилегии полномочий#
Эти привилегии определяют доступ к возможности управления полномочиями в Event-Driven Automation.
Привилегия (permission) |
Действие |
Типовые роли |
|---|---|---|
Add credential |
Создание |
Organization Admin |
View credential |
Просмотр |
Organization Viewer |
Change credential |
Изменение |
Credential Admin |
Delete credential |
Удаление |
Credential Admin |