Роли пользователей
Каждому пользователю соответствует персонифицированная учетная запись.
Учетные записи пользователей условно делятся на группы, приведенные в таблице 1.
Группа | Описание |
|---|---|
Создаются в Keycloak в рилме (realm) К этим пользователям Платформы применяется ролевая модель управления доступом | |
Создаются в Keycloak в рилме К этим пользователям Платформы применяется ролевая модель управления доступом | |
Администратор ИБ Платформы | Администратор Портала управления доступом Keycloak. Имя учетной записи по умолчанию — Учетные записи с данной ролью создаются в Keycloak в рилме |
Служебные (или сервисные) учетные записи используются сервисами OpenStack для обеспечения работы необходимых служб или сервисов |
Для пользователей Портала самообслуживания поддерживается набор ролей, назначаемых в рамках отдельного проекта. Пользователю можно назначить одну или несколько ролей, приведенных в таблице 2.
ID роли | Название роли | Описание |
|---|---|---|
| Наблюдатель | Позволяет просматривать большую часть информации о проекте, но без доступа на редактирование |
| Владелец проекта | Служебная роль назначается автоматически только Владельцу проекта. Роль не может быть назначена другому пользователю. Роль создается в единственном экземпляре при первоначальной настройке Платформы в Keystone и представляет собой единственного владельца всех проектов Платформы. Имя задается при создании. |
| Совладелец проекта | Предоставляет доступ ко всем ресурсам проекта. Может быть назначена вручную |
| Администратор сети | Предоставляет доступ ко всем объектам сетевой подсистемы |
| Администратор ВМ | Предоставляет доступ к ВМ проекта |
| Младший администратор ВМ | Предоставляет доступ к ВМ проекта, за исключением создания, редактирования и удаления правил и групп безопасности |
| Оператор виртуальных машин | Позволяет работать на виртуальной машине, но не управлять ее настройками. Оператор ВМ может:
Оператор ВМ не может создавать резервные копии |
| Администратор внутренних сетей | Предоставляет доступ к сетевым ресурсам, связанным с Neutron и Octavia |
| Администратор сетевой безопасности | Предоставляет доступ к сетевым ресурсам, связанным с безопасностью |
| Администратор Kubernetes | Предоставляет доступ на чтение и запись к большинству объектов в пространстве имен, включая возможность создавать другие роли и связывания ролей. Предоставляет доступ к секретам, что позволяет запускать поды от имени любого сервисного аккаунта в пространстве имен |
| Аудитор Kubernetes | Предоставляет доступ на чтение к большинству объектов в пространстве имен |
| Оператор Kubernetes | Предоставляет доступ на чтение и запись к большинству объектов в пространстве имен. Предоставляет доступ к секретам, что позволяет запускать поды от имени любого сервисного аккаунта в пространстве имен |
Каждой роли соответствует набор прав, приведенных в таблице 3.
[1] В реализации Платформы все операции на запись выполняются на Портале администратора. Пример: изменение баланса или цен.
В подсистеме прикладного журналирования Cloud Logging каждой роли соответствует набор прав, приведенный в таблице 4.
Роли | Просмотр логов и конфигурации подсистемы | Изменение настроек логов | Создание сервисных пользователей и ресурсов |
|---|---|---|---|
| |||
| |||
| |||
| |||
| |||
| |||
| |||
|
В подсистеме прикладного мониторинга Cloud Monitoring каждой роли соответствует набор прав, приведенный в таблице 5.
Роли | Просмотр дашбордов | Запись в систему мониторинга | Создание и редактирование дашбордов |
|---|---|---|---|
| |||
| |||
| |||
| |||
| |||
| |||
| |||
| |||
|
В подсистеме аудита Cloud Audit каждой роли соответствует набор прав, приведенный в таблице 6.
Роли | Просмотр событий | Выгрузка данных | Настройка аудита |
|---|---|---|---|
| Все события проекта | ||
| Все события проекта | ||
| Все события проекта | ||
| Все события проекта | ||
| |||
| Все события подсистемы Cloud Network и все свои действия | ||
| |||
| |||
| Все события подсистемы Cloud Containers и все свои действия |
В Портале самообслуживания доступны специализированные роли для работы с подсистемой управляемых контейнеров Cloud Containers:
mcs_k8s_admin.mcs_k8s_editor.mcs_k8s_viewer.
Каждой роли соответствует набор прав, приведенный в таблице 7.
Операции, доступные роли mcs_k8s_admin, доступны также ролям mcs_owner и mcs_co_owner. Для остальных ролей эти операции недоступны.
Операции | Роли | |||
|
|
|
| |
Создать кластер | ||||
Удалить кластер | ||||
Запустить кластер | ||||
Остановить кластер | ||||
Отобразить информацию о кластере, нод-группах | ||||
Получить kubeconfig | ||||
Получить секрет для доступа в Kubernetes Dashboard | ||||
Обновить версию | ||||
Изменить тип виртуальной машины | ||||
Добавить группу узлов | ||||
Удалить группу узлов | ||||
Изменить настройки масштабирования | ||||
Изменить Labels и Taints | ||||
Установить и удалить аддон | ||||
Для пользователей Портала администратора поддерживается набор ролей, назначаемых персонально каждому администратору. Пользователю можно назначить одну или несколько ролей, приведенных в таблице 8.
ID роли | Описание |
|---|---|
| Предоставляет доступ к разделу Управление доступом |
| Предоставляет доступ к разделу Партнерская программа |
| Предоставляет доступ к разделу Управление балансом |
| Предоставляет доступ к управлению:
|
| Предоставляет доступ к управлению проектами и пользователями в IAM |
| Предоставляет доступ к просмотру проектов и пользователей в IAM |
| Предоставляет доступ к управлению сессиями пользователей |
| Предоставляет доступ к просмотру сессий пользователей |
| Предоставляет доступ к просмотру данных на вкладке Индивидуальные тарифы |
| Предоставляет доступ к управлению данными на вкладке Индивидуальные тарифы |
| Предоставляет доступ к управлению данными на вкладке Тарифные планы |
| Предоставляет доступ к разделам OpenStack и вкладке Журнал действий |
Каждой роли соответствует набор прав, приведенных в таблице 9.
Кроме пользовательских учетных записей на Платформе есть встроенные учетные записи для внутренних запросов между компонентами.
Служебные (или сервисные) учетные записи используются сервисами OpenStack. Каждый сервис OpenStack аутентифицируется по паролю во встроенном компоненте Keystone, получает одноразовый токен и выполняет требуемый запрос.
Пользовательские учетные записи используются для идентификации и аутентификации пользователей.
Реализованы следующими сервисами:
- Keycloak.
- Keystone.
- Breeze.
- Dusk.
Как в Keystone, так и в Keycloak для идентификации и аутентификации необходима пара из двух полей:
- Имя пользователя.
- Пароль.
Каждый сервис OpenStack использует свою сервисную учетную запись для авторизации запросов к Платформе. Исключение — Суперадминистратор с учетной записью admin.