Введение
Введение в роли
Управление ролями пользователей на платформе реализовано поверх Kubernetes RBAC (Role-Based Access Control). Начиная с ACP 4.2, модель разделена на два взаимодополняющих слоя:
- Platform Roles: Шаблоны, предоставляемые системой, которые гарантируют основные сценарии продукта. В UI они доступны только для чтения; вы можете только привязывать или отвязывать их для пользователей и групп.
- Kubernetes Roles: Нативные объекты Kubernetes
RoleиClusterRole, которые можно создавать для каждого кластера, чтобы удовлетворить специфические требования к разрешениям. Управление этими ролями осуществляется на странице Kubernetes Roles, а привязка — через RoleBinding/ClusterRoleBinding.
Оба слоя в конечном итоге транслируются в разрешения Kubernetes. Назначение или удаление роли немедленно предоставляет или отзывает связанные операции (создание, просмотр, обновление, удаление и т.д.) над целевыми ресурсами.
Системные роли
Для удовлетворения распространённых сценариев настройки разрешений платформа предоставляет следующие стандартные системные роли. Эти роли обеспечивают гибкий контроль доступа к ресурсам платформы и эффективное управление разрешениями пользователей.
Пользовательские разрешения
Устаревший опыт создания кастомных ролей с помощью «чекбоксов» был удалён. Для реализации новых сценариев авторизации необходимо:
- Использовать страницу Kubernetes Roles для создания нативных ролей (Role/ClusterRole) в нужном кластере, либо
- Запросить шаблоны ролей у команды, владеющей соответствующим плагином, и привязать их через RoleBinding/ClusterRoleBinding.
Удаление или редактирование нативной роли влияет на все RoleBinding/ClusterRoleBinding, которые на неё ссылаются. Рекомендуется проверить существующие привязки и по возможности протестировать изменения в staging-среде.