Продвинутый режим настройки привилегий
Для настройки привилегий в продвинутом режиме вы должны обладать привилегией edit_role
или edit_role_any
Продвинутый режим настройки привилегий позволяет администратору выполнить тонкую настройку прав доступа пользователей к ресурсам системы (без использования пресетов) и минимизировать возможность возникновения потенциальных проблем информационной безопасности.
Например, администратор, обладающий привилегией назначения ролей группам пользователей, назначил группе “А” роль, а другой администратор организации, который не может назначать роли группам пользователей, но может управлять составом участников группы, добавил в группу “А“ пользователей, тем самым повысив их привилегии, без согласования с первым администратором.
Для того, чтобы избежать таких ситуаций и минимизировать возможность нарушения безопасного доступа, продвинутый режим настройки привилегий AirCloud основан на принципе “наименьших привилегий“, который заключается в том, что пользователю программного обеспечения должен предоставляться минимально возможный круг прав и доступов, необходимый и достаточный для выполнения ставящихся перед ним задач.
В AirCloud для предотвращения потенциальных нарушений информационной безопасности, среди прочих реализованы следующие ограничения:
только глобальный администратор может создавать новые учетные записи пользователей, группы, роли;
вложение групп не поддерживается – группу нельзя добавить в качестве участника другой группы.
Принципы организации привилегий в AirCloud
Для понимания логики организации работы с привилегиями в AirCloud важно понять основные принципы, которые легли в основу их концепции:
Каждый пользователь без исключения может просматривать перечень всех ролей, имеющихся в системе (даже тех, которые превосходят по набору привилегий роли, назначенные пользователю в системе).
Считается, что роль А превосходит роль B по набору привилегий, если роль А имеет привилегии, которые отсутствуют у роли B.
Пользователь системы не должен иметь возможность выдачи другим пользователям (в том числе себе) привилегий, которых у него самого сейчас нет.
Пользователь может предоставлять другим пользователям административный доступ только к тем ресурсам AirCloud, к которым сам имеет доступ.
Пользователь может удалять только те записи глобального списка доступа, роли которых не превосходят по набору привилегий роли, назначенные пользователю в системе.
Пользователь может редактировать роли (изменять состав их привилегий) только те набор привилегий которых не превосходит по набору привилегий роли, назначенные пользователю в системе.
Важно! В контексте редактирования ролей набором привилегий ролей, назначенных пользователю в системе, считается набор записей глобального списка административного доступа с включенной опцией наследования привилегий от родительского ресурса к дочерним.
При этом пользователь может добавлять в редактируемую роль только те привилегии, которые есть у него самого.
Пользователь может удалять из системы только те роли, которые не превосходят по набору привилегий роли, назначенные пользователю в системе.
Поскольку удаление ролей из системы влечет за собой изменение списков доступа, в которых участвует удаляемая роль, обязательными дополнительными условиями являются наличие у пользователя привилегий удаления записей административного доступа, а также изменения состава ролей во всех локальных и глобальном списках доступа AirCloud.
Пользователя системы можно ограничить (при помощи привилегий) в возможностях создания и удаления ролей. Пользователь может:
создавать/удалять абсолютно любые роли, даже превышающие полномочия самого пользователя в системе;
создавать/удалять только те роли, привилегии которых есть у самого пользователя.
Зависимости привилегий
Многие пользовательские задачи требуют одновременного наличия привилегий на нескольких ресурсах AirCloud. Если пользователь, пытающийся выполнить задачу, имеет привилегии только на одном из ресурсов, задача не будет завершена успешно.
Например:
для выполнения любой операции, затрагивающей работу дискового пространства, требуется доступ к Хранилищу данных (Data store). Пользователь, который будет пытаться создать, например, резервную копию системы, должен будет иметь, в том числе и привилегию записи на дисковое пространство.
для перемещения объекта (например, ВМ) между объектами AirCloud требуются соответствующие привилегии для самого объекта, исходного родительского объекта (например, Кластера А) и целевого родительского объекта (Кластер B).
Как и в случае с настройкой привилегий в базовом режиме, в продвинутом возможно возникновение конфликтов между установленными привилегиями, сообщение о которых будет отображено пользователю с возможностью автоматического устранения возникших системных противоречий.
Настройка привилегий для роли
Настройка привилегий для роли включает в себя настройку параметров управления ресурсами в зависимости от их принадлежности пользователю (Personal и Shared), а также привилегий доступа к каждому из ресурсов системы. Справочная информация обо всех привилегиях AirCloud и их зависимостях друг от друга, которые могут быть использованы для настройки ролей, размещена в следующих разделах:
Глобальные привилегии (в интерфейсе часть раздела “Администрирование”)
Важно! Выдавая пользователям привилегии, вы можете косвенно расширить возможности пользователя в системе по отношению к другим ресурсам – например, изменяя состав участников группы, вы косвенно влияете на список доступа к ресурсам, к которым данная группа имеет доступ, и пользователь, которого добавили в группу, получает право доступа к ресурсу.