特征角色用户
华体会联盟hth身份服务提供不同角色类型以简化Rackspace云租户和用户账号访问控制配置和管理
- 服务管理角色服务身份管理员限制服务内获取服务和能力作用只能由服务或身份管理员分派给客户服务托管角色必须由身份操作人员在身份服务配置中创建无法通过身份服务API创建
服务管理角色可配置扩展属性设置属性后,身份管理员和用户管理员自动继承管理员创建和管理的所有用户账户 - 上头角色访问控制角色特征允许客户创建、管理并分配作用限制仅授权用户访问云服务和能力RBAC为所有客户选入特征账户所有者可激活RBAC账户并分配用户角色,途径是API、云控板或调用客户支持
拥有充分访问权限的管理员和客户可使用RBAC创建、管理并分配角色角色运维身份服务API提供
角色可配置全局或产品专用范围
- 全局作用如管理员和观察者对除身份服务外所有产品都有效身份服务不使用全局作用在身份服务内作出访问控制决策
- 产品角色对特定产品有效,并通过角色名与产品连接dsaas:admin是DNS服务管理员角色,Lbaas:observer是加载平衡器服务观察者角色产品角色也称自定义角色
身份服务、管理员和用户角色
华体会联盟hth身份作用指服务托管角色,由身份服务用户或服务向身份API提交请求时使用Rackspace作出访问控制决策
华体会联盟hthRackspace云中用户表示为账户相关个人创建账户用户创建时,身份服务自动向账户分配默认身份角色,以身份服务系统配置为基础身份作用定义访问权限使用身份服务如下表所示
表:身份服务账号:用户类型和默认角色分配
| 角色名 | 账户用户类型 | 描述性 |
|---|---|---|
| 身份:用户寄存 | 身份用户管理员也称账号所有者 | 华体会联盟hth客户角色当用户创建racspace云账户时自动分配身份:用户-管理员提供完全行政特权管理主机账户和账户内创建的所有用户账户 华体会联盟hth机空云帐户完全有1个行政用户用户也称帐户所有者或用户管理员 |
| 身份:用户管理 | 身份用户管理器 | 客户角色提供与身份相同的访问权限和特权:用户-管理员角色 华体会联盟hthracspace云用户管理员可授予拥有身份的用户行政特权:通过分配身份:用户管理角色 |
| 身份:默认 | 身份子用户 账号用户 |
华体会联盟hth客户角色自动分配用户账号,用户管理员或用户管理员在Rackspace云账户内创建用户账号 身份:默认作用为用户管理自身账户提供权限和特权账户用户可更新用户信息并自定义密码,但他们无法更新其他账户信息用户身份:默认角色可提交List用户请求,但响应仅返回账户所有者信息 |
用户账号通常只有一个身份角色,当账号创建或更新时分配用户管理员更新子用户账户添加身份:用户管理角色
账户所有者用户(身份:用户-管理员)可启动RBAC系统,向账户增加用户并通过API、云控板或调用客户支持向用户分配角色华体会联盟hth账户可增加客户管理RBAC产品或全局作用,管理访问许可并获取其他Rackspace服务细节见华体会联盟hthRackspace云RBAC作用和能力.
用法注解
华体会联盟hth管理 Rackspace云账号时,作为用户管理员,切记下点以防止用户子账户意外修改用户管理员账号
- 创建新账号用户时,账号继承租户信息、分组成员资格和用户管理员账户端点
- 用户管理员账号分配到新组时,账号用户也添加到组中
- 用户管理员账号从分组删除时,账号用户也被删除
- 服务试图分配账号用户组时,此图失效报错信息如下:
400无法直接向分组添加子用户,必须分配他们的父用户
校正问题方法为向分组分配用户管理员父帐户,以便账户用户继承分派任务 - 管理员可直接分配账号用户到特定租户,使用户行为仿佛他们包含在该租户内
更新 29天前