Перейти к содержанию

Ролевая модель

Общая информация

Платформа Нимбиус использует подход Role-based access control (RBAC), формируя ролевую модель для управления доступом к ресурсам. Это означает, что доступ к ресурсам и действиям определяется ролями, назначенными пользователям или группам.

Такой подход обеспечивает гибкость и безопасность в управлении ресурсами, позволяя точно контролировать, кто и какие действия может выполнять в системе.
Настройка ролевой модели включает создание и управление пользователями, группами, ролями и тенантами, а также назначение соответствующих прав и разрешений в зависимости от потребностей организации.

Основными компонентами RBAC являются пользователи, группы, роли и тенанты.

  • Пользователь – это индивидуальный аккаунт, представляющий конкретного человека или сервис, который взаимодействует с системой. Каждый пользователь обладает уникальными учетными данными для аутентификации и может быть членом одной или нескольких групп.
  • Группа – это объединение пользователей, которым назначена определенная роль. Группы позволяют управлять доступом и привилегиями коллективно, упрощая администрирование. Назначая роль группе, все пользователи внутри этой группы наследуют соответствующие разрешения. Группа сопоставляется с одной ролью.
  • Тенант – это логическая единица, объединяющая группы пользователей, ресурсы и ограничения (квоты) по ресурсам. Тенанты позволяют изолировать ресурсы и управлять ими в рамках определенной организационной структуры. Иерархия тенантов обеспечивает наследование прав доступа, где родительский тенант может иметь доступ к ресурсам дочерних тенантов, а дочерние — только к своим собственным.
  • Роль – это набор разрешений, определяющий, какие действия пользователь или группа могут выполнять в системе. Роли контролируют доступ к различным функциям и ресурсам, обеспечивая разграничение обязанностей и безопасность. В Нимбиус предусмотрен набор стандартных ролей, которые можно использовать или настраивать под конкретные потребности организации.

При работе в системе пользователю назначается "текущая группа", связанная с набором его привилегий.

Настройка видимости сервисов

Видимость сервисов может быть организована на основе:

  • Иерархии тенантов
  • Признака владения
  • Тегов

er model

Иерархия тенантов

Видимость элементов определяется правилами наследования:

Родительский тенант имеет доступ к ресурсам всех своих дочерних тенантов, тогда как дочерний тенант видит только свои собственные ресурсы.

Это обеспечивает четкое разграничение доступа и предотвращает несанкционированный доступ к данным.
Квоты и стоимости услуг на Портале пользователя отображаются с учетом иерархии, настроенной через портал администратора.

Чтобы создать тенанты на платформе Нимбиус, следуйте следующим шагам:

  1. На портале администратора выберите Settings → Application Settings.
  2. Перейдите в Access Control → Tenants.
  3. Выберите тенант, внутри которого нужно создать дочерний тенант (по умолчанию My Company) и Нажмите кнопку Configuration .
  4. Выберите Add Child Tenant to This Tenant (Добавить дочерний тенант к текущему) и введите имя тенанта в поле Name и, если необходимо, описание тенанта в поле Description.
    После создания всех необходимых тенантов и подтенантов, вы можете проверить иерархию, выбрав корневой тенант и просмотрев его структуру.

Tenants addTenant addingTenant

Доступ к действиям по ролям

Роли определяют, какие разделы интерфейса, действия и функции доступны пользователю или группе. Администраторы могут создавать новые роли или изменять существующие, назначая им определенные разрешения. Назначая роли группам, можно точно контролировать, какие разделы интерфейса и функции будут доступны пользователям, обеспечивая соответствие их обязанностям и уровню ответственности.

Чтобы настроить роли в Нимбиус, следуйте этим шагам:

  1. На портале администратора выберите Settings → Application Settings.
  2. Перейдите в Access Control → Roles.
  3. Нажмите кнопку Configuration.
  4. Выберите Add a new Role (Добавить новую роль) и введите имя роли в поле Role Name. Установите нужные разрешения, отмечая галочками соответствующие действия и разделы.
  5. Для редактирования существующей роли в списке ролей выберите нужную. Нажмите Configuration → Edit this Role. Измените настройки и сохраните изменения.
  6. Чтобы назначить роль группе перейдите в Access Control → Groups. Выберите группу, которой хотите назначить роль. Нажмите Configuration → Edit this Group. В поле Role выберите созданную или измененную роль.
  7. Сохраните изменения.

roles addNewRole

Признак владения

Настройка видимости ресурсов по признаку владения позволяет контролировать доступ пользователей к различным объектам на основе их прав собственности.

Признак владения настраивается при создании роли и определяет, какие элементы видит пользователь:

  • Все доступные по иерархии тенантов элементы.
  • Только элементы, которыми владеет пользователь.
  • Все элементы участников его группы.
    Применяется к каталогам, стекам оркестрации, ключам, службам, ВМ и шаблонам.

Чтобы назначить признак владения следуйте следующим шагам:

  1. На портале администратора выберите Settings → Application Settings.
  2. Перейдите в Access Control → Roles.
  3. Выберите нужную роль.
  4. Нажмите кнопку Configuration.
  5. Выберите Edit this Role (Редактировать текущую роль)
  6. Выберите кому какие элементы будут доступны в полях
    • Access Restriction for Orchestration Stacks, Key Pairs, Services, VMs, and Templates
    • Access Restriction for Catalog Items

editRole editRoleUser

Теги

В Нимбиус настройка видимости ресурсов с использованием тегов позволяет администраторам контролировать доступ пользователей к различным объектам системы, таким как виртуальные машины, шаблоны и сервисы. Теги служат метками, которые можно присваивать как ресурсам.

После присвоения тегов ресурсам и группам пользователей, видимость ресурсов будет определяться соответствием тегов пользователя и ресурсов. Пользователь сможет видеть и взаимодействовать только с теми объектами, теги которых совпадают с тегами, назначенными его группе. Это обеспечивает точный контроль доступа и позволяет создавать изолированные среды для различных подразделений или проектов внутри организации.

Важно отметить, что при одновременном использовании фильтров по признаку владения и тегам, пользователь будет иметь доступ только к тем ресурсам, которые соответствуют обоим критериям. Это означает, что даже если пользователь является владельцем ресурса, он не сможет его увидеть, если соответствующие теги не совпадают.

Примеры тегов:

  • Операции с ошибками.
  • Сервисы для финансистов.
  • Местоположение в провайдере.
  • Автоматически одобренные сервисы (например, по размеру памяти).
  • Удаленные сервисы.

Шаги, чтобы присвоить теги группам пользователей:

  1. На портале администратора выберите Settings → Application Settings.
  2. Перейдите в Access Control → Groups.
  3. Нажмите кнопку Configuration.
  4. Нажмите "Add a New Group, укажите имя группы и при необходимости описание или выберите существующую группу для редактирования.
  5. В поле Role выберите соответствующую роль, определяющую права доступа.
  6. В поле Tenant выберите нужного тенант, к которому будет привязана группа.
  7. В меню Policy выберите Edit Tags for this Tenant.
  8. Выберите необходимые теги из доступных категорий и их значения
  9. Сохраните изменения.

Groups addNewGroup addingNewGroup editTagtoGroup editingTagtoGroup

Создание пользователя

Шаги, чтобы создать пользователя:

  1. На портале администратора выберите Settings → Application Settings.
  2. Перейдите в Access Control → Users.
  3. Нажмите кнопку Configuration.
  4. Нажмите Add a new User, укажите имя пользователя, логин, пароль, email и назначьте группы для него.
     

users addNewUser addingNewUser

Последовательность действий при создании ролевой модели

  1. Необходимо создать иерархию тенантов. Определите структуру организации и создайте соответствующие тенанты и подтенанты, отражающие эту структуру.
  2. Присвойте ролям необходимые разрешения. Создайте роли с набором разрешений, соответствующих задачам и обязанностям каждой группы, и назначьте эти роли группам.
  3. Назначьте группы соответствующим тенантам. Создайте группы пользователей и привяжите их к нужным тенантам, чтобы определить область видимости и ответственности каждой группы.
  4. Назначьте пользователю группу. Создайте пользователей и назначьте нужную группу.
    После настройки пользователи получат доступ к ресурсам в соответствии с назначенными ролями и группами.

Управление квотами

Управлять квотами можно напрямую через веб-интерфейс платформы в разделе Settings -> Application Settings -> Access Control -> Tenants. Квоты по умолчанию применяются к тенантам. Управление квотами:

  • Необходимо выбрать тенант;
  • Нажать кнопку Configuration;
  • Нажать кнопку Manage Quotas.

manageQuotas

  • В открывшемся окне можно изменить следующие параметры:

    • Выделение виртуальных CPU;
    • Выделение памяти;
    • Выделение хранилища;
    • Выделение числа виртуальных машин;
    • Выделение числа шаблонов (templates).

Quotas