Права и учётные записи пользователей
Каждому пользователю соответствует персонифицированная учётная запись.
Учётные записи пользователей условно делятся на группы, приведённые в таблице 1.
Группа | Описание |
|---|---|
Создаются в Keycloak в области безопасности (realm) К этим пользователям Платформы применяется ролевая модель управления доступом. | |
Создаются в Keycloak в области безопасности (realm) К этим пользователям Платформы применяется ролевая модель управления доступом. | |
Администратор ИБ Платформы | Администратор Портала управления доступом Keycloak. Имя учётной записи по умолчанию — Учётные записи с данной ролью создаются в Keycloak в области безопасности (realm) |
Служебные (или сервисные) учётные записи используются сервисами OpenStack для обеспечения работы необходимых служб или сервисов |
Для пользователей Портала самообслуживания поддерживается набор ролей, назначаемых в рамках отдельного проекта. Пользователю можно назначить одну или несколько ролей, приведённых в таблице 2.
ID роли | Название роли | Описание |
|---|---|---|
| Наблюдатель | Позволяет просматривать большую часть информации о проекте, но без доступа на редактирование |
| Владелец проекта | Служебная роль назначается автоматически только Владельцу проекта. Роль не может быть назначена другому пользователю |
| Совладелец проекта | Предоставляет доступ ко всем ресурсам проекта. Может быть назначена вручную |
| Администратор сети | Предоставляет доступ ко всем объектам сетевой подсистемы |
| Администратор биллинга проекта | Предоставляет доступ только к пункту Баланс и функциям биллинга |
| Администратор пользователей | Роль обычно не используется, так как добавление новых пользователей происходит с помощью добавления их в соответствующую группу LDAP-провайдера |
| Администратор проекта | Предоставляет доступ ко всем ресурсам проекта, кроме групп пользователей и баланса |
| Администратор ВМ | Предоставляет доступ к ВМ проекта |
| Администратор сетевых ресурсов | Предоставляет доступ к сетевым ресурсам, связанным с Neutron, Sprut и Octavia |
| Администратор сетевой безопасности | Предоставляет доступ к сетевым ресурсам, связанным с безопасностью |
| Администратор Kubernetes | Предоставляет доступ на чтение и запись к большинству объектов в пространстве имён, включая возможность создавать другие роли и связывания ролей. Предоставляет доступ к секретам, что позволяет запускать поды от имени любого сервисного аккаунта в пространстве имён |
| Аудитор Kubernetes | Предоставляет доступ на чтение к большинству объектов в пространстве имён |
| Оператор Kubernetes | Предоставляет доступ на чтение и запись к большинству объектов в пространстве имён. Предоставляет доступ к секретам, что позволяет запускать поды от имени любого сервисного аккаунта в пространстве имён |
Каждой роли соответствует набор прав, приведённых в таблице 3.
[1] Указанный функционал отключён в Портале самообслуживания Платформы. Взаимодействие с пользователями и ролями осуществляется исключительно через Портал администратора.
[2] В реализации Платформы все операции на запись (например, изменение баланса или цен) осуществляются исключительно через Портал администратора.
Для пользователей Портала администратора поддерживается набор ролей, назначаемых персонально каждому администратору. Пользователю можно назначить одну или несколько ролей, приведённых в таблице 4.
ID роли | Описание |
|---|---|
| Предоставляет доступ к разделу Управление доступом |
| Предоставляет доступ к разделу Партнерская программа |
| Предоставляет доступ к разделу Управление балансом |
| Предоставляет доступ к управлению:
|
| Предоставляет доступ к управлению проектами и пользователями в IAM |
| Предоставляет доступ к просмотру проектов и пользователей в IAM |
| Предоставляет доступ к управлению сессиями пользователей |
| Предоставляет доступ к просмотру сессий пользователей |
| Предоставляет доступ к просмотру данных на вкладке Индивидуальные тарифы |
| Предоставляет доступ к управлению данными на вкладке Индивидуальные тарифы |
| Предоставляет доступ к управлению данными на вкладке Тарифные планы |
| Предоставляет доступ к разделам OpenStack и вкладке Журнал действий |
Каждой роли соответствует набор прав, приведённых в таблице 5.
Условные обозначения:
—— право не предоставляется.R— право только на чтение.RW— право на чтение и внесение изменений.
Кроме пользовательских учётных записей в Платформе есть встроенные учётные записи для внутренних запросов между компонентами.
Служебные (или сервисные) учётные записи используются сервисами OpenStack. Каждый сервис OpenStack аутентифицируется по паролю во встроенном компоненте Keystone, получает одноразовый токен и выполняет требуемый запрос.
Пользовательские учётные записи используются для идентификации и аутентификации пользователей.
Реализовано следующими сервисами:
- Keycloak.
- Keystone.
- Breeze.
- Dusk.
Как в Keystone, так и в Keycloak для идентификации и аутентификации необходима пара из двух полей:
- Имя пользователя.
- Пароль.
Каждый сервис OpenStack использует свою сервисную учётную запись для авторизации запросов к Платформе. Исключение — Суперадминистратор с учётной записью admin.