Привилегии и роли
Привилегия – атомарное действие, которое пользователю позволено выполнять в системе по отношению к ее ресурсу.
Роль – набор привилегий, которые определяют правила доступа и перечень возможных действий для каждого типа ресурса в системе. Роли позволяют назначать разрешения для доступа к ресурсам системы на основе набора типичных задач, выполняемых пользователями.
Когда возникает задача назначения разрешений для пользователя, администратор связывает пользователя или группу с ролью и связываете эту пару с ресурсом инвентори AirCloud. Один пользователь или группа могут иметь разные роли для разных ресурсов системы.
Предположим, что в системе есть два ресурса – “Кластер A” и “Кластер B”. Администратор назначает группе пользователей роль с правами “View & Edit“ на “Кластер A” и роль “View access” на “Кластер B”. С помощью этих назначений пользователи группы могут пользоваться дочерними ресурсами “Кластера A” (к примеру, включать и работать с виртуальными машинами на нем), но на “Кластере B“ они смогут только просматривать перечень его виртуальных машин.
Режимы настройки привилегий
В AirCloud есть два режима настройки привилегий для роли:
1. “Basic mode“ – позволяет быстро выполнить настройку привилегий для роли, указав один из предустановленных наборов разрешений.
2. “Advanced mode“ – режим тонкой настройки привилегий, при котором у вас есть возможность вручную настроить каждую привилегию, установив или сняв в списке доступных привилегий соответствующий чек-бокс.
Подробнее о режимах настройки привилегий – см. “Базовый режим настройки привилегий“ и “Продвинутый режим настройки привилегий”.
Изменения ролей и привилегий вступают в силу немедленно, даже если пользователи, которых касались изменения, уже авторизованы в системе.
При переходе из “Basic mode” в “Advanced mode” и наоборот сбрасывания установленных настроек не происходит, а выполняется переопределение и сопоставление предустановленных наборов разрешений с установленными вручную привилегиями.
Предустановленные роли
В AirCloud имеются предустановленные системные роли, которые, в прочем, могут быть отредактированы, клонированы, удалены администратором в процессе настройки доступа.
Предустановленная роль представляет из себя набор привилегий, составленный исходя из типичных задач пользователя, которые он будет выполнять с использованием ресурсов системы. В AirCloud реализованы следующие системные роли:
Consumer;
Developer;
Operator;
Admin;
Viewer;
Super Admin;
Owner (удаление роли невозможно).
Чтобы не потерять “заводские“ настройки для предустановленных ролей, сначала клонируйте роль и внесите изменения в ее копию. Сбросить настройки системной роли на значения по умолчанию невозможно.
Суммирование персональных и групповых привилегий пользователя
Политикой AirCloud предусмотрена возможность назначения для одного пользователя (персонально или в составе группы пользователей) нескольких ролей по отношению к одному ресурсу системы. В таком случае его общие разрешения по отношению к ресурсу определяются по принципу аддитивности – значение его общих разрешений в системе равно сумме его разрешений, определенных для него персонально и в составе каждой из групп, участником которых он является.
Если для одного и того же ресурса определено несколько групповых ролей и пользователь принадлежит к двум или более из этих групп, то пользователь получает объединение разрешений, которые группы имеют по отношению к ресурсу.
Важно! Есть несколько важных моментов, о которых стоит помнить при настройке ролей и привилегий в AirCloud:
В AirCloud разрешения, определенные для дочернего ресурса, всегда переопределяют разрешения, которые распространяются на него от родительских ресурсов.
Многие задачи требуют разрешений на нескольких ресурсах AirCloud. Если пользователь, пытающийся выполнить задачу, имеет привилегии только на одном ресурсе, то задача не сможет быть успешно завершена, о чем будет отображено соответствующее уведомление. Например, для перемещения объекта по иерархии системы требуются соответствующие привилегии для самого объекта, исходного родительского объекта (например, папки или кластера) и целевого родительского объекта.
Удаление ролей
В отличие от предустановленных системных ролей, любую из ролей, созданных администратором, можно удалить из системы. При удалении роли, которая не назначена ни одному из пользователей/группе AirCloud, роль просто удаляется из списка ролей, доступных для выбора. При удалении роли, которая уже назначена пользователям/группе, у них удаляются все привилегии, входящие в роль.
Все роли, созданные на основе удаляемой роли, остаются доступными для дальнейшего использования в системе.