Назначение прав

Развернуть все Свернуть все

Назначение прав доступа ко всей платформе и тенантам доступно только из интерфейса платформы. Также доступно назначение прав для уровня кластера управления или клиентского кластера, неймспейса. Записи, доступные только для просмотра, некликабельны.

При нажатии на кнопку “Назначить доступ” происходит переход на страницу “Управление ролями” интерфейса платформы. Доступны 4 вкладки:

Со страницы Управление ролями платформы можно:

• Назначать пользователям/группам права доступа к:
  • платформе в целом (доступ к кластеру управления, клиентским кластерам);
  • кластеру (доступ к кластеру управления или клиентскому кластеру);
  • неймспейсу (доступ к неймспейсу кластера управления или клиентского кластера).
• Изменять и удалять платформенные, кластерные и неймспейсные назначения прав всех доступных пользователю кластеров и неймспейсов.

Статусная модель назначения прав доступа в платформе отражает статусы применения назначений пользователей/групп пользователей:

• В блоке “Статус применения в кластере управления” сгруппированы результаты применения назначений в самом кластере управления*, в Opensearch.
• Блок “Статус применения в клиентских кластерах” отражает успешность применения прав доступа в кластере и применение ролей в ArgoCD. Для уровня Платформа приведен количественный показатель, отражающий отношение кластеров, в которых назначение было успешно применено, к общему количеству кластеров. Для остальных уровней приведена цветовая индикация успешности применения назначений.

Согласно цветовой индикации:

• зелёный: успешно примененено;
• красный: в результате применения прав доступа есть ошибки;
• серый: применение не требуется. Это может быть в случае, если в наборе доступов не было запрошено выделение прав доступа, например, в Opensearch.

*Кластер управления отвечает за некоторые объекты клиентских кластеров, например, объекты API-групп: cluster.x-k8s.io, bootstrap.cluster.x-k8s.io, infrastructure.cluster.x-k8s.io, permissions.shturval.tech. Поэтому на каждом уровне доступа в набор доступа для получения таких объектов необходимы платформенные разрешения. Именно поэтому в статусах назначения прав доступа вы можете увидеть применение назначения в кластер управления, даже если назначенные разрешения относятся к кластеру или неймспейсу.

Особенности управления доступом в тенантах #

Права доступа, назначенные в тенант, будут применены ко всем существующем в тенанте объектам. В интерфейсе в релизе 2.10 пользователи, имеющие доступ к тенанту, смогут получить доступ к вложенным объектам тенанта. Доступ к самим тенантам в релизе 2.10 будет только у платформенных пользователей.

Если тенант объединяет кластеры целиком (в неймспейсах указана *), то для назначения прав доступа будут доступны наборы доступов кластерного уровня.

Список наборов доступа будет доступен на экране после выбора имени тенанта, в который необходимо назначить права доступа.

Назначение прав группе пользователей #

Для назначения прав доступа группе пользователей перейдите на вкладку абстракции, к которой хотите предоставить доступ (вкладка Платформа, Тенант, Кластер или Неймспейс), нажмите +. На открывшемся экране:

Отобразится форма назначения прав доступа группе

• В поле Название группы начните вводить имя группы. Со второго введенного символа будет выполнен поиск группы по каталогу, подключенному при интеграции с LDAP (например, AD или openLDAP). Если каталог не подключен, вы не сможете указать название группы вручную и назначить права группе пользователей.
• В результате поиска будет получен список имен групп, выберите необходимую группу из списка. Поиск регистрозависимый, если не найдена группа, уточните введенные данные.

Все пользователи, входящие в группу, получат выделенные полномочия.

• Когда название группы будет указано, выберите перечень наборов доступов, которые хотите присвоить группе и нажмите кнопку Сохранить. Название группы после создания записи не будет доступно для редактирования. При необходимости изменить название группы, удалите запись и создайте новую.

Назначение прав пользователю #

Для назначения прав доступа пользователю перейдите на вкладку абстракции, к которой хотите предоставить доступ (вкладка Платформа, Тенант, Кластер или Неймспейс). На открывшемся экране:

Отобразится форма Назначение прав доступа

Уникальное имя пользователя возможно задать в соответствии с каталогом, подключенным при интеграции с LDAP (например, AD или openLDAP). Если каталог не подключен, вы не сможете указать пользователя вручную и назначить ему права.

• В поле Уникальное имя пользователя начните вводить имя пользователя. Со второго введенного символа будет выполнен поиск пользователей по каталогу. В результате поиска отобразится список пользователей, имена которых содержат указанные символы.
• Выберите имя пользователя из списка. Поиск по каталогу регистрозависимый, поэтому если пользователь не найден или отсутствует в списке, уточните введенные данные.

Когда “Уникальное имя пользователя” заполнено:

• Выберите наборы доступов, которые хотите присвоить пользователю, затем нажмите кнопку Сохранить. Имя пользователя после создания записи не будет доступно для редактирования. При необходимости изменить имя пользователя, удалите запись и создайте новую.

Обратите внимание!

Если набор доступов включает роль в ArgoCD:

• при назначении набора доступов на уровне платформы группе/пользователю будет открыт доступ к проектам ArgoCD всех клиенстких кластеров платформы.
• при назначении набора доступов на уровне кластера группе/пользователю будет открыт доступ ко всем проектам ArgoCD этого кластера.
• при назначении набора доступов на уровне неймспейса группе/пользователю будет открыт доступ к проекту ArgoCD только одного неймспейса.