Ansible Tower 3.0 では、ロールベースのアクセス制御 (RBAC) システムの機能する方法が大幅に変更になりました。最新の RBAC ドキュメントは、Tower ユーザーガイドの「Role-Based Access Controls」セクションを参照してください。
フィードバックをもとに、Ansible Tower のロールベースのアクセス制御が拡張されるとともに、簡素化されました。ジョブテンプレートの表示/非表示の設定は、インベントリー、プロジェクト、認証情報のパーミッションの組み合わせでは指定されなくなりました。ジョブテンプレートを使用するユーザーまたはチームにパーミッションを授与するには、ジョブテンプレートに直接パーミッションを割り当てるだけになりました。同様に、認証情報は、Tower の RBAC システム内で完全なオブジェクトとなり、複数のユーザーやチームに割り当てて使用できるようになりました。
「監査者」タイプが新しく Tower に追加されました。このタイプは、システムの自動化の全機能が表示されますが、自動化の実行や変更はできません。自動化の変更や変更にはシステムレベルの auditor パーミッションが必要です (Tower API から自動化情報を取得するサービスアカウントにも有用となる場合があります)。
Ansible Tower で再設計された RBAC システムを使用する際に留意すべき変更点がいくつかあります。
認証用の「チーム」または「ユーザー」の設定はなくなりました。代わりに、Tower の RBAC システムを使用して、所有者、監査者、用途別のロールを割り当てます。
今回のリリースでは、ジョブ実行データが削除できるのは、システムおよび組織管理者のみに制限されています。
プロジェクトに複数の組織を含めることができません。API で新規プロジェクトを作成する際には、組織を指定する 必要があります。
- projects/:id/organizations --> removed
Tower に新しい監査者タイプが追加され、このタイプにはシステムの全機能が表示されますが、実行または変更権限はありません。