Назначение прав

Назначение прав доступа ко всей платформе и тенантам доступно только из интерфейса платформы. Также доступно назначение прав для уровня кластера управления или клиентского кластера, неймспейса. Записи, доступные только для просмотра, некликабельны.

Назначение прав доступа из интерфейса платформы

platformaccess

При нажатии на кнопку “Назначить доступ” происходит переход на страницу “Управление ролями” интерфейса платформы. Доступны 4 вкладки:

Платформа

accessplarform

Тенант

accesstenant3

Кластер

accessclusters

Неймспейс

accessnamespace1

Со страницы Управление ролями платформы можно:

  • Назначать пользователям/группам права доступа к:
    • платформе в целом (доступ к кластеру управления, клиентским кластерам);
    • кластеру (доступ к кластеру управления или клиентскому кластеру);
    • неймспейсу (доступ к неймспейсу кластера управления или клиентского кластера).
  • Изменять и удалять платформенные, кластерные и неймспейсные назначения прав всех доступных пользователю кластеров и неймспейсов.

Статусная модель назначения прав доступа в платформе отражает статусы применения назначений пользователей/групп пользователей:

  • В блоке “Статус применения в кластере управления” сгруппированы результаты применения назначений в самом кластере управления*.
  • Блок “Статус применения в клиентских кластерах” отражает успешность применения прав доступа в кластере и применение ролей в ArgoCD. Для уровня Платформа приведен количественный показатель, отражающий отношение кластеров, в которых назначение было успешно применено, к общему количеству кластеров. Для остальных уровней приведена цветовая индикация успешности применения назначений.

Согласно цветовой индикации:

  • зелёный: успешно применено;
  • красный: в результате применения прав доступа есть ошибки;
  • серый: применение не требуется. Это может быть в случае, если в наборе доступов не было запрошено выделение прав доступа, например, в ArgoCD.

*Кластер управления отвечает за некоторые объекты клиентских кластеров, например, объекты API-групп: cluster.x-k8s.io, bootstrap.cluster.x-k8s.io, infrastructure.cluster.x-k8s.io, permissions.shturval.tech. Поэтому на каждом уровне доступа в набор доступа для получения таких объектов необходимы платформенные разрешения. Именно поэтому в статусах назначения прав доступа вы можете увидеть применение назначения в кластер управления, даже если назначенные разрешения относятся к кластеру или неймспейсу.

Особенности управления доступом в тенантах

Права доступа, назначенные в тенант, будут применены ко всем существующем в тенанте объектам. В интерфейсе пользователи, имеющие доступ к тенанту, смогут получить доступ к вложенным объектам тенанта. Доступ к самим тенантам только у платформенных пользователей.

Если тенант объединяет кластеры целиком (в неймспейсах указана *), то для назначения прав доступа будут доступны наборы доступов кластерного уровня.

Скриншот

accesstenant2

Если тенант объединяет неймспейсы, то для назначения прав доступа будут доступны наборы доступов неймспейсного уровня.
Скриншот

accesstenant4

Список наборов доступа будет доступен на экране после выбора имени тенанта, в который необходимо назначить права доступа.

Назначение прав группе пользователей

Для назначения прав доступа группе пользователей перейдите на вкладку абстракции, к которой хотите предоставить доступ (вкладка Платформа, Тенант, Кластер или Неймспейс), нажмите + рядом с названием таблицы Группы. На открывшемся экране:

Отобразится форма назначения прав доступа группе

  • Вы можете задать имя группы одним из способов:

1 Способ

Выбрать из каталога, подключенному при интеграции с LDAP (например, AD или openLDAP). Выбор из каталога доступен только в случае настроенной в платформе интеграции с LDAP.

  • В поле Имя группы начните вводить имя группы. Со второго введенного символа будет выполнен поиск группы по каталогу.

  • В результате поиска будет получен список имен групп.

Скриншот

platformaddgr

  • Выберите необходимую группу из списка (поиск по каталогу регистронезависимый). Если каталог не подключен, вы можете указать название группы вручную.

2 Способ

Ввести имя группы вручную. Для этого выберите Ручной ввод и в поле Имя группы укажите имя группы пользователей. Данный способ может быть необходим, когда в платформе подключен внешний провайдер аутентификации (например, Keycloak или Blitz). Если имя группы указано вручную, поиск группы по каталогу LDAP не будет выполнен.

Скриншот

accessmanageraddgr1

  • Когда название группы будет указано, выберите перечень наборов доступов, которые хотите присвоить группе и нажмите кнопку Сохранить.

Все пользователи, входящие в группу, получат выделенные полномочия.

Название группы после создания записи не будет доступно для редактирования. При необходимости изменить название группы, удалите запись и создайте новую.

Назначение прав пользователю

Для назначения прав доступа пользователю перейдите на вкладку абстракции, к которой хотите предоставить доступ (вкладка Платформа, Тенант, Кластер или Неймспейс). На открывшемся экране:

Отобразится форма Назначение прав доступа

Имя пользователя возможно задать одним из способов:

1 Способ

В соответствии с каталогом, подключенным при интеграции с LDAP (например, AD или openLDAP). Выбор из каталога доступен только в случае настроенной в платформе интеграции с LDAP.

  • В поле Уникальное имя пользователя начните вводить имя пользователя. Со второго введенного символа будет выполнен поиск пользователей по каталогу. В результате поиска отобразится список пользователей, имена которых содержат указанные символы.
Скриншот

platformadduser

  • Выберите имя пользователя из списка (поиск по каталогу регистронезависимый). Если каталог не подключен, вы сможете указать имя пользователя вручную.

2 Способ

Ввести имя пользователя вручную. Для этого выберите Ручной ввод и в поле Уникальное имя пользователя укажите имя пользователя. Данный способ может быть необходим, когда в платформе подключен внешний провайдер аутентификации (например, Keycloak или Blitz). Если имя пользователя указано вручную, поиск пользователя по каталогу LDAP не будет выполнен.

Скриншот

accessmanageraddus1

Когда “Уникальное имя пользователя” заполнено:

  • Выберите наборы доступов, которые хотите присвоить пользователю, затем нажмите кнопку Сохранить. Имя пользователя после создания записи не будет доступно для редактирования. При необходимости изменить имя пользователя, удалите запись и создайте новую.

Обратите внимание!

Если набор доступов включает роль в ArgoCD:

  • при назначении набора доступов на уровне платформы группе/пользователю будет открыт доступ к проектам ArgoCD всех клиентских кластеров платформы.
  • при назначении набора доступов на уровне кластера группе/пользователю будет открыт доступ ко всем проектам ArgoCD этого кластера.
  • при назначении набора доступов на уровне неймспейса группе/пользователю будет открыт доступ к проекту ArgoCD только одного неймспейса.
← Дерево доступов
Об интеграции в платформе →
×