Введение
Введение в роли
Управление ролями пользователей платформы реализовано поверх Kubernetes RBAC (Role-Based Access Control). Начиная с ACP 4.2, модель разделена на два взаимодополняющих слоя:
- Platform Roles: Шаблоны, предоставляемые системой, которые гарантируют основные сценарии продукта. Они доступны только для чтения в UI; вы можете только привязывать или отвязывать их для пользователей и групп.
- Kubernetes Roles: Родные объекты Kubernetes
RoleиClusterRole, которые можно создавать для каждого кластера, чтобы удовлетворить индивидуальные требования к разрешениям. Управление этими ролями осуществляется на странице Kubernetes Roles и привязка происходит через RoleBinding/ClusterRoleBinding.
Оба слоя в конечном итоге транслируются в разрешения Kubernetes. Назначение или удаление роли немедленно предоставляет или отзывает связанные операции (создание, просмотр, обновление, удаление и т. д.) над целевыми ресурсами.
Системные роли
Для удовлетворения распространённых сценариев настройки разрешений платформа предоставляет следующие стандартные системные роли. Эти роли обеспечивают гибкий контроль доступа к ресурсам платформы и эффективное управление разрешениями пользователей.
Пользовательские разрешения
Устаревший опыт создания пользовательских ролей на основе «чекбоксов» был удалён. Для реализации новых сценариев авторизации необходимо:
- Использовать страницу Kubernetes Roles для создания родных ролей (Role/ClusterRole) в нужном кластере, или
- Запросить шаблоны ролей у команды, владеющей плагином, и привязать их через RoleBinding/ClusterRoleBinding.
Удаление или редактирование родной роли влияет на все RoleBinding/ClusterRoleBinding, которые на неё ссылаются. При возможности проверяйте существующие привязки и тестируйте изменения в тестовой среде.