Documentation

4. ロールベースのアクセス制御

Ansible Tower 3.0 では、ロールベースのアクセス制御 (RBAC) システムの機能する方法が大幅に変更になりました。最新の RBAC ドキュメントは、Tower ユーザーガイドの Role Based Access Controls セクションを参照してください。

4.1. 強化および簡素化された RBAC システム

ユーザーフィードバックに基づいて、Ansible Tower のロールベースのアクセス制御が拡張されるとともに、簡素化されました。ジョブテンプレートの表示/非表示の設定は、インベントリー、プロジェクト、認証情報のパーミッションの組み合わせでは指定されなくなりました。ジョブテンプレートを使用するためのパーミッションをユーザーまたはチームに付与する場合は、ジョブテンプレートに直接パーミッションを付与します。同様に、認証情報は、Tower の RBAC システム内で完全なオブジェクトとなり、複数のユーザーやチームが使用できるようにそれらに割り当てることが可能になりました。

「監査者」タイプが新しく Tower に追加されました。このタイプは、システムの自動化の全機能が表示されますが、自動化の実行や変更はできません。自動化の変更や変更にはシステムレベルの auditor パーミッションが必要です (Tower API から自動化情報を取得するサービスアカウントにも有用となる場合があります)。

4.2. 留意すべき変更点

Ansible Tower で再設計された RBAC システムを使用する際に留意すべき変更点がいくつかあります。

  • 認証用の「チーム」または「ユーザー」の設定はなくなりました。代わりに、Tower の RBAC システムを使用して、所有者、監査者、用途別のロールを割り当てます。

  • 今回のリリースでは、ジョブ実行データが削除できるのは、システムおよび組織管理者のみに制限されています。

  • プロジェクトに複数の組織を含めることができません。API で新規プロジェクトを作成する際には、組織を指定する 必要があります

    - projects/:id/organizations --> removed
    
  • Tower に新しい監査者タイプが追加され、このタイプにはシステムの全機能が表示されますが、実行または変更権限はありません。