Ролевая модель на Портале администратора¶
Портал администратора обеспечивает веб-доступ к функциям управления ресурсами OpenStack, просмотру состояния платформы, событиям аудита, логам и мониторингу. Ролевая модель определяет, какие разделы и операции доступны пользователю в зависимости от назначенной роли.
Поведение Портала администратора зависит от значения параметра enable_rbac_model:
enable_rbac_model: "yes"— доступ к разделам и операциям определяется ролью пользователя;enable_rbac_model: "no"— целевая ролевая модель не применяется.
Включение ролевой модели описано в разделе Включение ролевой модели в KeyStack.
Принципы работы RBAC¶
При включённой ролевой модели действуют следующие правила:
разрешение на системном уровне наследуется на домен и проект, если для операции не задано отдельное ограничение;
явный запрет имеет приоритет над разрешением;
если API OpenStack требует project-scoped token, операция выполняется только в проектном контексте;
технологическим учётным записям OpenStack запрещена аутентификация через внешние и публичные интерфейсы в домене
default.
Аутентификация через домены¶
Форма входа в Портал администратора по адресу https://external.cloud.itkey.com:12999/auth предоставляет выбор домена аутентификации.
Форма авторизации в Портале администратора¶
Роль admin¶
Пользователь с ролью admin получает административный доступ к Порталу администратора.
Роли доступны следующие операции:
просмотр состояния региона, сервисов OpenStack, физических узлов и гипервизоров;
просмотр и изменение квот проектов;
создание, просмотр, изменение и удаление виртуальных машин, дисков, снимков, резервных копий, образов, сетей, подсетей, портов, маршрутизаторов, групп безопасности, ключевых пар и шаблонов;
управление типами дисков, QoS, flavor, агрегатами хостов и зонами доступности;
просмотр журналов аудита;
просмотр логов в OpenSearch;
просмотр и изменение представлений мониторинга в Grafana;
просмотр inventory, операций GitLab day-2, состояния Podman/Systemd и параметров обновления GitLab;
управление доменами, проектами, пользователями, группами, ролями и доступом приложений.
Обзор региона в Портале администратора¶
Управление виртуальными машинами в Портале администратора¶
Роль member¶
Пользователь с ролью member управляет ресурсами в пределах назначенного проекта.
Роли доступны следующие операции:
создание, просмотр, изменение и удаление виртуальных машин, дисков, снимков, резервных копий, образов, сетей, подсетей и портов в пределах проекта;
просмотр типов дисков, flavor, серверных групп, ключевых пар и шаблонов в пределах проекта;
просмотр проектов, пользователей и доступов приложений в пределах проекта;
доступ к VNC-консоли виртуальных машин.
Роли недоступны:
управление доменами;
управление группами и ролями;
просмотр и изменение системных разделов;
просмотр OpenSearch и Grafana;
операции GitLab day-2;
управление Podman/Systemd;
просмотр и изменение inventory;
просмотр журналов аудита.
Роли security_auditor и reader¶
Пользователи с ролями security_auditor и reader получают доступ на чтение к состоянию платформы, конфигурации и виртуальным ресурсам.
Ролям доступны следующие операции:
просмотр состояния региона, сервисов OpenStack, физических узлов и гипервизоров;
просмотр квот проектов;
просмотр виртуальных машин, дисков, снимков, резервных копий, образов, сетей, подсетей, портов, маршрутизаторов, групп безопасности, ключевых пар и шаблонов;
просмотр типов дисков, flavor, QoS, плавающих IP-адресов, trunk-подключений, агрегатов хостов и зон доступности;
просмотр доменов, проектов, пользователей, групп, ролей и доступов приложений;
просмотр журналов аудита;
просмотр логов в OpenSearch;
просмотр данных мониторинга в Grafana;
просмотр inventory, операций GitLab day-2, состояния Podman/Systemd и параметров обновления GitLab.
Ролям недоступны операции создания, изменения и удаления ресурсов.
Роль operator_vm¶
Пользователь с ролью operator_vm получает ограниченный доступ к виртуальным машинам в пределах назначенного проекта.
Роли доступны следующие операции:
просмотр виртуальных машин в пределах проекта;
доступ к VNC-консоли виртуальных машин.
Остальные разделы Портала администратора для роли operator_vm недоступны.
Роль app_operator¶
Пользователь с ролью app_operator получает ограниченный доступ к виртуальным машинам приложения в пределах назначенного проекта.
Роли доступны следующие операции:
просмотр виртуальных машин в пределах проекта;
доступ к VNC-консоли виртуальных машин.
Остальные разделы Портала администратора для роли app_operator недоступны.
Роль os_operator¶
Пользователь с ролью os_operator получает ограниченные права управления виртуальными машинами в пределах назначенного проекта.
Роли доступны следующие операции:
просмотр виртуальных машин в пределах проекта;
запуск, остановка, перезагрузка, пауза и восстановление виртуальных машин;
доступ к VNC-консоли виртуальных машин;
просмотр образов.
Остальные разделы Портала администратора для роли os_operator недоступны.
Интеграция с мониторингом и логированием¶
При включённой ролевой модели разделы мониторинга и логирования открываются из Портала администратора без повторной аутентификации, если пользователю назначена роль с соответствующими правами доступа.
Пользователь с ролью admin получает доступ к административному профилю OpenSearch и роли Grafana Editor.
Пользователи с ролями security_auditor и reader получают доступ к OpenSearch и Grafana только на чтение.
Пользователи с ролями member, operator_vm, app_operator и os_operator не получают доступ к OpenSearch и Grafana.
Поведение при выключенной ролевой модели¶
Если параметр enable_rbac_model имеет значение "no", целевая ролевая модель не применяется. Доступ к Порталу администратора и связанным компонентам определяется базовой конфигурацией сервисов и используемыми учётными записями.