Управление доступом

Назначение прав доступа пользователям/группе пользователей для кластера управления или клиентского кластера можно произвести со страницы Управление доступом в кластере, а также со страницы Управления ролями в платформе при наличии соответствующих разрешений. Назначение прав доступа уровня “Платформа” доступно только в платформе со страницы Управления ролями.

На странице Управление доступом раздела Администрирование доступны 3 вкладки:

Платформа

clusteraccesstab

Кластер

clusteraccesstab2

Неймспейс

clusteraccesstab3

Со страницы Управление доступом кластера при наличии соответствующих разрешений можно:

  • Создавать, изменять и удалять назначения прав доступа пользователей/групп на кластер и все неймспейсы кластера, в котором находится пользователь;
  • Просматривать перечень платформенных назначений прав доступа для пользователей и групп, имеющих доступ к этому кластеру. Записи, доступные только для просмотра, некликабельны.

Статусная модель назначения прав доступа в кластере отражает статусы применения назначений пользователей/групп пользователей, имеющих доступ к кластеру:

  • В блоке Статус применения в кластере управления сгруппированы результаты применения назначений в самом кластере управления*.
  • Блок Статус применения в клиентских кластерах отражает успешность применения прав доступа в кластере и применение ролей в ArgoCD. Для уровня “Платформа” приведен количественный показатель, отражающий отношение кластеров, в которых назначение было успешно применено, к общему количеству кластеров. Для остальных уровней приведена цветовая индикация успешности применения назначений.

Согласно цветовой индикации:

  • зелёный: успешно применено;
  • красный: в результате применения прав доступа есть ошибки;
  • серый: применение не требуется. Это может быть в случае, если в наборе доступов не было запрошено выделение прав доступа, например, в ArgoCD.

*Кластер управления отвечает за некоторые объекты клиентских кластеров, например, объекты API-групп: cluster.x-k8s.io, bootstrap.cluster.x-k8s.io, infrastructure.cluster.x-k8s.io, permissions.shturval.tech. Поэтому на каждом уровне доступа в набор доступа для получения таких объектов необходимы платформенные разрешения. Именно поэтому в статусах назначения прав доступа вы можете увидеть применение назначения в кластер управления, даже если назначенные разрешения относятся к кластеру или неймспейсу.

Назначение прав группе пользователей

Для назначения прав доступа группе пользователей перейдите на вкладку скоупа, к которому хотите предоставить доступ (вкладка Кластер или Неймспейс), нажмите +. На открывшемся экране:

Отобразится форма Назначение прав доступа группе

  • Вы можете задать имя группы одним из способов:

1 Способ

Выбрать из каталога, подключенному при интеграции с LDAP (например, AD или openLDAP). Выбор из каталога доступен только в случае настроенной в платформе интеграции с LDAP.

  • В поле Имя группы начните вводить имя группы. Со второго введенного символа будет выполнен поиск группы по каталогу.

  • В результате поиска будет получен список имен групп.

Скриншот

clusteraddgr

  • Выберите необходимую группу из списка. Поиск регистрозависимый, если не найдена группа, уточните введенные данные. Если каталог не подключен, вы можете указать название группы вручную.

2 Способ

Ввести имя группы вручную. Для этого выберите Ручной ввод и в поле Имя группы укажите имя группы пользователей. Данный способ может быть необходим, когда в платформе подключен внешний провайдер аутентификации (например, Keycloak или Blitz). Если имя группы указано вручную, поиск группы по каталогу LDAP не будет выполнен.

Скриншот

clusteraddgr2

  • Когда название группы будет указано, выберите перечень наборов доступов, которые хотите присвоить группе и нажмите кнопку Сохранить.

Все пользователи, входящие в группу, получат выделенные полномочия.

Название группы после создания записи не будет доступно для редактирования. При необходимости изменить название группы, удалите запись и создайте новую.

Назначение прав пользователю

Для назначения прав доступа пользователю перейдите на вкладку скоупа, к которому хотите предоставить доступ (вкладка Кластер или Неймспейс), нажмите +. На открывшемся экране:

Отобразится форма Назначение прав доступа

1 Способ

В соответствии с каталогом, подключенным при интеграции с LDAP (например, AD или openLDAP). Выбор из каталога доступен только в случае настроенной в платформе интеграции с LDAP.

  • В поле Уникальное имя пользователя начните вводить имя пользователя. Со второго введенного символа будет выполнен поиск пользователей по каталогу. В результате поиска отобразится список пользователей, имена которых содержат указанные символы.
Скриншот

clusteradduser

  • Выберите имя пользователя из списка. Поиск по каталогу регистрозависимый, поэтому если пользователь не найден или отсутствует в списке, уточните введенные данные. Если каталог не подключен, вы сможете указать имя пользователя вручную.

2 Способ

Ввести имя пользователя вручную. Для этого выберите Ручной ввод и в поле Уникальное имя пользователя укажите имя пользователя. Данный способ может быть необходим, когда в платформе подключен внешний провайдер аутентификации (например, Keycloak или Blitz). Если имя пользователя указано вручную, поиск пользователя по каталогу LDAP не будет выполнен.

Скриншот

clusteradduser1

Когда Уникальное имя пользователя заполнено:

  • Выберите наборы доступов, которые хотите присвоить пользователю, затем нажмите кнопку Сохранить. Имя пользователя после создания записи не будет доступно для редактирования. При необходимости изменить имя пользователя, удалите запись и создайте новую.

Подробнее о наборах доступов, доступных для назначения.

Обратите внимание!

Если набор доступов включает роль в ArgoCD:

  • при назначении набора доступов на уровне кластера группе/пользователю будет открыт доступ ко всем проектам ArgoCD этого кластера.
  • при назначении набора доступов на уровне неймспейса группе/пользователю будет открыт доступ к проекту ArgoCD только одного неймспейса.
← Действия в кластере
Audit Policy →
×