Documentation

4. 基于角色的访问控制

Ansible Tower 3.0 已经根据基于角色的访问控制 (RBAC) 系统的工作方式进行了大量修改。如需了解最新的 RBAC 文档,请参阅《Tower 用户指南》中的 Role-Based Access Controls 部分。

4.1. 加强和简化的 RBAC 系统

基于用户反馈,Ansible Tower 可以扩展并简化基于角色的访问控制。不再需要通过清单、项目和凭证的权限组合来配置作业模板可见性。如果您想要授予用户或团队使用作业模板的权限,请直接在作业模板上分配权限。同样,凭证现在是 Tower 的 RBAC 系统中的完整对象,并可分配给多个用户和/或团队使用。

在 Tower 中也引入了一个新的“Auditor”类型,它们可看到系统自动化的所有方面,但没有权限为需要系统级审核员的用户运行或更改自动化。(这对于从 Tower 的 API 中提取自动化信息的服务帐户也很有用.)

4.2. 需要注意的变化

当您使用针对 Ansible Tower 重新设计的 RBAC 系统时,您应该注意以下变化:

  • 您不再为凭证设置“team”或“user”。反之,您可以使用 Tower 的 RBAC 系统授予所有权、审核员或使用角色。

  • 删除作业运行数据现在仅限于系统和机构管理员。

  • 项目不再有多个机构。在通过 API 创建新项目时,您*必需*提供了一个机构:

    - projects/:id/organizations --> removed
    
  • Tower 中新增了 Auditor 类型,它可以看到系统自动化的所有方面,但没有权限运行或更改事务。