Права и учётные записи пользователей
Каждому пользователю соответствует персонифицированная учётная запись.
Учетные записи пользователей условно делятся на группы, приведенные в таблице 1.
Группа | Описание |
|---|---|
Создаются в Keycloak в области безопасности (realm) К этим пользователям Платформы применяется ролевая модель управления доступом. | |
Создаются в Keycloak в области безопасности (realm) К этим пользователям Платформы применяется ролевая модель управления доступом. | |
Администратор ИБ Платформы | Администратор Портала управления доступом Keycloak. Имя учетной записи по умолчанию — Учётные записи с данной ролью создаются в Keycloak в области безопасности (realm) |
Служебные (или сервисные) учётные записи используются сервисами OpenStack для обеспечения работы необходимых служб или сервисов |
Для пользователей Портала самообслуживания поддерживается набор ролей, назначаемых в рамках отдельного проекта. Пользователю можно назначить одну или несколько ролей из таблицы 2.
ID роли | Название роли | Описание |
|---|---|---|
| Наблюдатель | Позволяет просматривать большую часть информации о проекте, но без доступа на редактирование |
| Владелец проекта | Служебная роль назначается автоматически только Владельцу проекта. Роль не может быть назначена другому пользователю |
| Совладелец проекта | Предоставляет доступ ко всем ресурсам проекта. Может быть назначена вручную |
| Администратор сети | Предоставляет доступ ко всем объектам сетевой подсистемы |
| Администратор биллинга проекта | Предоставляет доступ только к пункту Баланс и функциям биллинга |
| Администратор пользователей | Роль обычно не используется, так как добавление новых пользователей происходит с помощью добавления их в соответствующую группу LDAP-провайдера |
| Администратор проекта | Предоставляет доступ ко всем ресурсам проекта, кроме групп пользователей и баланса |
| Администратор виртуальных машин | Предоставляет доступ к виртуальным машинам проекта |
| Администратор сетевых ресурсов | Предоставляет доступ к сетевым ресурсам, связанным с Neutron и Octavia |
| Администратор сетевой безопасности | Предоставляет доступ к сетевым ресурсам, связанным с безопасностью ( |
| Администратор Kubernetes | Предоставляет доступ на чтение и запись к большинству объектов в пространстве имён, включая возможность создавать другие роли и связывания ролей. Предоставляет доступ к секретам, что позволяет запускать поды от имени любого сервисного аккаунта в пространстве имён. |
| Аудитор Kubernetes | Предоставляет доступ на чтение к большинству объектов в пространстве имён |
| Оператор Kubernetes | Предоставляет доступ на чтение и запись к большинству объектов в пространстве имён. Предоставляет доступ к секретам, что позволяет запускать поды от имени любого сервисного аккаунта в пространстве имён. |
Каждой роли соответствует определенный набор прав, приведенных в таблице 3.
Условные обозначения:
—— право не предоставляется.RW— право как на чтение, так и на внесение изменений.R— право только на чтение.
[1] Роль mcs_admin_security не является необходимой в реализации Платформы. Пользователям с данной ролью рекомендуется предоставлять доступ к Порталу администратора для управления пользователями и ролями.
[2] Указанный функционал отключен в Портале самообслуживания Платформы. Взаимодействие с пользователями и ролями осуществляется исключительно через Портал администратора.
[3] В реализации Платформы биллинг доступен для чтения только некоторым ролям. Все операции на запись (например, изменение баланса или цен) осуществляются исключительно через Портал администратора.
Для пользователей Портала администратора поддерживается набор ролей, назначаемых персонально каждому администратору. Пользователю можно назначить одну или несколько ролей из таблицы 4.
ID роли | Описание |
|---|---|
| Предоставляет доступ к разделу Управление доступом |
| Предоставляет доступ к разделу Управление балансом |
| Предоставляет доступ к управлению:
|
| Предоставляет доступ к управлению проектами и пользователями в IAM |
| Предоставляет доступ к просмотру проектов и пользователей в IAM |
| Предоставляет доступ к управлению сессиями пользователей |
| Предоставляет доступ к просмотру сессий пользователей |
| Предоставляет доступ к просмотру данных на вкладке Индивидуальные тарифы |
| Предоставляет доступ к управлению данными на вкладке Индивидуальные тарифы |
| Предоставляет доступ к управлению данными на вкладке Тарифные планы |
| Предоставляет доступ к разделам OpenStack и вкладке Проекты → Журнал действий |
Каждой роли соответствует определенный набор прав, приведенных в таблице 5.
Условные обозначения:
—— право не предоставляется.RW— право как на чтение, так и на внесение изменений.R— право только на чтение.
Кроме пользовательских учётных записей в Платформе имеются встроенные учётные записи для внутренних запросов между компонентами.
Служебные (или сервисные) учётные записи используются сервисами OpenStack. Каждый сервис OpenStack аутентифицируется по паролю во встроенном компоненте Keystone, получает одноразовый токен и выполняет требуемый запрос.
Пользовательские учётные записи используются для идентификации и аутентификации пользователей.
Реализовано следующими сервисами:
- Keycloak.
- Keystone.
- Breeze.
- Dusk.
Как в Keystone, так и в Keycloak для идентификации и аутентификации необходима пара из двух полей:
- Имя пользователя.
- Пароль.
Каждый сервис OpenStack использует свою сервисную учётную запись для авторизации запросов к Платформе. Исключение — Суперадминистратор с учётной записью admin.