角色访问控制
华体会联盟hth角色访问控制限制只允许授权用户访问racspace云服务能力,包括主动服务API华体会联盟hthRBAC使racspace云客户能够根据racspace定义角色访问提供API服务能力提供服务API中执行某些操作权限(创建、阅读、更新、删除)分配给特定角色账户所有者用户将这些角色分配为账户用户,或全局化(多产品)或产品专用(例如提供服务)。
分配账号用户
账户所有者(身份:用户-管理员)可创建账户用户并分配角色给用户角色授权账户用户访问提供服务能力华体会联盟hth每一个帐户只有一个帐户所有者,当帐户创建时,该角色默认分配到任何Rackspace云帐户
身份API指南介绍如何执行下列任务
账户所有者(身份:用户-管理员)角色不能拥有任何其他角色,因为它已经完全获取所有能力
角色提供
下表描述可访问提供API角色
| 角色名 | 角色权限 |
|---|---|
| lbaas:admin | 角色提供Create、阅读、更新和删除权限 |
| lbaas:创建器 | 角色提供Create阅读更新权限 |
| lbaas:Obser | 角色提供Open Afferation许可 |
多产品全局作用和权限
此外,两个多产品角色适用于所有产品多产品作用用户继承产品使用权,当这些产品成为RBAC驱动时下表描述这些角色和权限
| 角色名 | 角色权限 |
|---|---|
| 管理员 | 角色提供创建、阅读、更新和删除所有允许访问的产品权限 |
| 观察者 | 角色提供所有产品阅读许可,允许访问 |
RBAC多产品和产品专用角色冲突解决
账户所有者可同时为多产品和提供服务范围设置角色,重要的是理解这些角色间的潜在冲突是如何解决的。当两个角色似乎冲突时,提供更广泛权限的角色优先管理角色优先于观察家和创建者角色,因为管理角色提供更多权限
下表显示两个例子说明云控制板用户作用间潜在冲突是如何解决的
| 权限配置 | 控制面板权限视图 | 控制板管理能力 |
|---|---|---|
| 用户分配以下角色:多产品观察者并提供管理员 | 似乎用户只有多产品观察者角色识别 | 用户可执行管理员函数用户拥有观察者角色其余产品 |
| 用户分配到以下角色:多产品管理员并提供观察者 | 似乎用户只有多产品管理员角色识别 | 用户可执行所有产品的管理员函数出价观察者角色忽略 |
RBAC权限交叉引用提供API运维
API提供操作或非所有角色都可用查看哪些操作允许调用,审查权限矩阵角色访问控制.
更新 29天前