IBM Cloud Docs
管理资源组中工具链的访问权限

管理资源组中工具链的访问权限

缺省情况下,您在帐户中创建的工具链可能对其他用户不可视。 帐户中的用户对资源组中工具链的访问权由 IBM Cloud Identity and Access Management (IAM) 进行控制。 您可以为帐户中的新用户现有用户分配访问权。

用户对 Continuous Delivery 服务实例的访问权是单独管理的。 有关管理用户对资源组中 Continuous Delivery 服务实例的访问权的更多信息,请参阅使用 Identity and Access Management 管理用户对 Continuous Delivery 的访问权

对于访问您帐户中工具链的每个用户,必须向其分配 IAM 访问策略。 策略确定用户可以访问的工具链以及允许用户执行的操作。

策略允许在不同级别或作用域授予访问权,包括但不限于:

  • 对帐户中所有工具链的访问权
  • 对帐户内资源组中所有工具链的访问权
  • 对帐户中特定工具链的访问权

在定义访问策略的作用域后,可以分配角色。 角色定义允许用户执行的操作。 下表列出了 IAM 平台访问角色和每个角色的可用工具链操作。

IAM 平台作用
平台角色 操作描述 示例操作
查看者 查看工具链和 Delivery Pipeline。
  • 单击工具链打开其概述页面。
运算符 查看工具链和 Delivery Pipeline。 运行 Delivery Pipeline。 发送客户机定制工具链事件。 单击管道作业所在阶段的运行阶段图标。

调用 POST /toolchains/{toolchain_id}/events API。
编辑者、管理员 创建、查看、更新和删除工具链和 Delivery Pipeline。 运行 Delivery Pipeline。 发送客户机定制工具链事件。 从IBM Cloud控制台,单击菜单图标汉堡包图标>平台自动化>工具链。 在“工具链”页面上,单击要删除的工具链。 单击操作菜单,然后选择删除

从IBM Cloud控制台,单击菜单图标汉堡包图标>平台自动化>工具链。 在“工具链”页面,单击工具链打开其“概述”页面。 单击添加工具,然后选择要添加的工具集成。

从IBM Cloud控制台,单击菜单图标汉堡包图标>平台自动化。 在管道页面上,单击阶段配置图标,然后单击配置阶段

单击管道作业所在阶段的运行阶段图标。

调用 POST{toolchain_id}API。

下表列出了 IAM 服务访问角色和每个角色的可用操作。

IAM 服务访问角色
服务角色 操作描述 示例操作
EventSender 发送客户机定制工具链事件。 调用 POST /toolchains/{toolchain_id}/events API。
PipelineRunner 运行 Delivery Pipeline。 单击管道作业所在阶段的运行阶段图标。

EventSender 访问权仅授予发送客户机定制工具链事件的能力。 要对工具链执行其他操作,需要其他角色,例如“查看者”,“操作员”,“编辑者”或“管理员”。

PipelineRunner 访问权仅授予运行交付管道的能力。 要从 UI 查看管道,需要额外的角色,例如“查看者”角色。

下表列出并描述了可用于工具链的操作:

服务行动和业务
操作 对服务的操作 角色
resource-controller.instance.create 在资源组中创建工具链。 管理员、编辑者
resource-controller.instance.update 更新绑定到资源组中工具链的工具链或工具集成。 例如,重命名工具链。 更改绑定到资源组中的工具链的 Delivery Pipeline。 管理员、编辑者
resource-controller.instance.update_plan 不适用。 管理员、编辑者
resource-controller.instance.delete 从资源组删除工具链。 管理员、编辑者
resource-controller.instance.retrieve 查看工具链或绑定到资源组中工具链的工具集成的详细信息。 管理员、编辑者、操作员、查看者
toolchain.event.send 发送客户机定制工具链事件。 管理员、编辑器、EventSender,操作员
toolchain.instance.create-bindings 向资源组中的工具链添加工具集成。 管理员、编辑者
toolchain.instance.delete-bindings 从资源组中的工具链除去工具集成。 管理员、编辑者
toolchain.instance.read-properties 保留供将来使用。 管理员、编辑者、查看者
toolchain.instance.update-properties 保留供将来使用。 管理员、编辑者
toolchain.pipeline-run.create 运行交付管道。 管理员、编辑器、操作员、PipelineRunner器

为新用户分配访问权

您可以为新用户分配对资源组中所有工具链的访问权。

  1. 从IBM Cloud控制台,单击管理>访问 (IAM),然后选择用户
  2. 单击邀请用户
  3. 指定要邀请的用户的电子邮件地址。
  4. 要如何分配访问权? 部分中,单击 访问策略
  5. 选择分配对 工具链 服务的访问权。
  6. 限制对 特定资源 的访问权。 选择 资源组 属性类型并输入资源组。
  7. 资源组访问权 部分中,选择 查看者 (或更高版本) 访问权以向用户提供从平台查看工具链服务实例的访问权,执行配置和操作工具链服务实例所需的平台操作,并将访问策略分配给其他用户。
  8. 角色和操作 部分中,选择 编辑者 角色,以向用户提供从资源组创建,查看,编辑或删除工具链服务的访问权。 选择 查看者 角色以仅向用户提供查看工具链的访问权。 同时选择“查看器和”PipelineRunner 角色,为用户提供查看工具链或运行交付管道的权限。
  9. 单击添加
  10. 单击邀请

根据角色的不同,新用户现在可以使用指定资源组中的所有工具链。 他们可以添加工具集成以及修改和运行管道。

为现有用户分配访问权

您可以为现有用户分配对资源组中工具链的访问权。

  1. 在菜单栏中,单击管理 > 访问权 (IAM),然后选择用户
  2. 在要分配访问权限的用户行中,选择“行动行动列表图标 菜单。
  3. 单击分配访问权
  4. 要如何分配访问权? 部分中,单击 访问策略
  5. 选择分配对 工具链 服务的访问权。
  6. 限制对 特定资源 的访问权。 选择 资源组 属性类型并输入资源组。
  7. 资源组访问权 部分中,选择 查看者 (或更高版本) 访问权以向用户提供从平台查看工具链服务实例的访问权,执行配置和操作工具链服务实例所需的平台操作,并将访问策略分配给其他用户。
  8. 角色和操作 部分中,选择 编辑者 角色,以向用户提供从资源组创建,查看,编辑或删除工具链服务的访问权。 选择 查看者 角色以仅向用户提供查看工具链的访问权。 同时选择“查看器和”PipelineRunner 角色,为用户提供查看工具链或运行交付管道的权限。
  9. 单击添加
  10. 单击分配

根据其角色,现在用户可以使用指定资源组中的所有工具链。 他们可以添加工具集成以及修改和运行管道。

虽然此处描述了授予用户访问权的最常用、最灵活的方法,但 IAM 还支持其他方法,例如按资源或资源类型,或者按资源组来分配访问权。 有关如何为用户分配对资源(如工具链)的访问权的更多信息,请参阅管理对资源的访问权