Управление доступом

Перейдите в раздел АдминистрированиеУправление доступом.

Скриншот

clusteraccess

На странице “Управление доступом” доступны 3 вкладки:

  • Платформа;
  • Кластер;
  • Неймспейс.

Все вкладки всегда доступны для просмотра, имеющих права к управлению ролями. Так пользователь может всегда увидеть, кто имеет права доступа к его объектам, а также управлять доступным разрешениями в режиме одного окна.

Если данные на вкладке доступны благодаря наследованию родительских ролей или пользователь не имеет доступа на редактирование ролей, то редактирование недоступно.

Записи, доступные только для просмотра, некликабельны.

Со страницы Управление доступом кластера при наличии соответствующих разрешений можно:

  • Назначать пользователям/группам набор доступов на кластер и все неймспейсы кластера, в котором находится пользователь;
  • Просматривать назначения наборов доступов для пользователей и групп, имеющих доступ к этому кластеру. По каждому набору доступа приведена расширенная статусная модель на каждом уровне: Платформа, Кластер, Неймспейс.

Назначение прав доступа уровня “Платформа” доступно только со страницы назначения прав платформы. Назначение прав для кластера управления или клиентского кластера можно произвести со страницы “Платформа” или со страницы управления доступом соответствующего кластера. Кластер управления отвечает за некоторые объекты клиентских кластеров, таких, как: кластер, неймспейс, роль, кластерная роль, набор доступов, узлы, машины и некоторые другие. Поэтому на каждом уровне доступа в набор доступа для получения таких объектов необходимы платформенные разрешения. Именно поэтому в статусах назначения прав доступа вы можете увидеть применение назначения в кластер управления, даже если назначенные разрешения относятся к кластеру или неймспейсу.

Статусная модель уровня Платформа приведена на вкладке Платформа и отражает статусы успешного/неуспешного применения назначений:

  • в кластер управления
  • в Opensearch;
  • в клиентские кластеры. Приведен количественный показатель, отражающий отношение кластеров, в которых назначение было успешно применено, к общему количеству кластеров.
  • в ArgoCD. Приведен количественный показатель, отражающий отношение кластеров, для которых роли в ArgoCD было успешно применены, к общему количеству кластеров.

На уровне Кластер модель отражает статусы успешного/неуспешного применения назначений:

  • в кластер управления;
  • в Opensearch;
  • в кластер, который был выбран при назначении прав доступа пользователю;
  • в ArgoCD.

На уровне Неймспейс модель отражает статусы успешного/неуспешного применения назначений:

  • в кластер управления;
  • в неймспейс кластера;
  • в ArgoCD.

В случае, если в наборе доступов не было запрошено выделение прав доступа, например, в Opensearch, то статус применения для Opensearch будет Применение не требуется.

Назначение прав группе пользователей

Для назначения прав доступа группе пользователей перейдите на вкладку скоупа, к которому хотите предоставить доступ (вкладка Кластер или Неймспейс), нажмите +. На открывшемся экране:

Отобразится форма Назначение прав доступа группе

  • Задайте Название группы. Для этого вы можете выполнить запрос на поиск группы по каталогу, подключенному при интеграции с LDAP (например, AD или openLDAP) или ввести название группы вручную в соответствии с каталогом. Все пользователи, входящие в группу, получат выделенные полномочия.

Фильтры для поиска

Скриншот

groups

Поиск групп по каталогу возможен только в случае настроенной интеграции с LDAP. Чтобы выполнить запрос на поиск и задать название группе:

  • разверните Фильтры для поиска и нажмите на элемент фильтра рядом с Название группы;
  • в открывшемся модальном окне введите название группы в поле Название группы и выполните поиск, нажав Ок. Вы можете осуществить запрос на поиск группы, начиная с двух введенных символов имени в фильтр.
  • выберите одну группу из списка в блоке Результаты поиска, нажав на строку с необходимым названием в результатах поиска. Выбранная группа отобразится в поле Название группы. Если в результатах поиска нет подходящей группы, уточните введенные данные в фильтре и выполните повторный запрос.

Вы можете отменить поиск группы в каталоге по заданному фильтру. Для этого нажмите Очистить все фильтры или x рядом с названием группы в фильтре.

Скриншот

groupfilter

  • Когда название группы будет указано, выберите перечень наборов прав доступа, которые хотите присвоить группе и нажмите кнопку Сохранить. Название группы после создания записи не будет доступно для редактирования. При необходимости изменить название группы, удалите запись и создайте новую.
Скриншот

grouppermission

Назначение прав пользователю

Для назначения прав доступа пользователю перейдите на вкладку скоупа, к которому хотите предоставить доступ (вкладка Кластер или Неймспейс). На открывшемся экране:

Отобразится форма Назначение прав доступа

  • Задайте Уникальное имя пользователя в соответствии с каталогом, подключенным при интеграции с LDAP (например, AD или openLDAP). Вы можете задать имя пользователя:
    • ввести вручную в поле Уникальное имя пользователя (username);
    • выполнить поиск по каталогу и выбрать имя пользователя из полученного списка. Поле Уникальное имя пользователя будет автоматически заполнено.

Фильтры для поиска

Поиск пользователя по каталогу возможен при настроенной интеграции с LDAP. Чтобы выполнить запрос на поиск и задать имя пользователю:

  • Откройте Фильтры для поиска и настройте фильтры, по которым хотите выполнить поиск, нажав на элемент фильтра рядом с наименованием:
    • Уникальное имя пользователя;
    • Email пользователя. Если не настроен Еmail атрибут в настройках интеграции с LDAP, фильтр Еmail пользователя будет недоступен для выбора.
    • ФИО пользователя.

Вы можете осуществить запрос на поиск по каталогу, настроив один или несколько фильтров одновременно. При указании нескольких фильтров, поиск пользователей в каталоге будет осуществлен по совпадению со всеми указанными значениями в фильтрах.

  • В модальном окне Фильтр введите значения для поиска и нажмите Ок. Для фильтров Уникальное имя пользователя, ФИО пользователя необходимо указывать минимум два символа, чтобы запрос на поиск был выполнен. В фильтре Email пользователя - минимум три символа, один из которых обязательный символ @.
  • Выберите пользователя из списка в блоке Результаты поиска, нажав на строку с его именем. Имя пользователя будет отображено в поле Уникальное имя пользователя. Если в результатах поиска нет подходящего пользователя, уточните введенные данные в фильтре и выполните повторный запрос.

Вы можете отменить запрос на поиск пользователя по каталогу:

  • нажмите Очистить все фильтры, чтобы отменить запрос на поиск со всеми фильтрами;
  • нажмите на x рядом с наименованием фильтра, чтобы сбросить значение для поиска в фильтре.

Когда Уникальное имя пользователя заполнено:

  • Выберите перечень наборов прав доступа, которые хотите присвоить пользователю, затем нажмите кнопку Сохранить. Имя пользователя после создания записи не будет доступно для редактирования. При необходимости изменить имя пользователя, удалите запись и создайте новую.

Подробнее наборах доступа, доступных для назначения.

← Действия в кластере
Конфигурация узлов (NCI) →