示例:定义权限作用域

上一步中,公司 IT 确认了 10 种权限。6 种权限受 4 个不同的作用域限制。公司 IT 需要创建 4 个作用域:虚拟机云、SRV 云、人力资源和财务。
部门 功能 权限角色 权限作用域
公司 IT 高级技术专家 基础架构管理员 所有资源
公司 IT 服务器管理员 服务器管理员 所有资源
公司 IT 网络管理员 网络管理员 所有资源
公司 IT 存储器管理员 存储管理员 所有资源
财务 操作系统/应用程序管理员 服务器配置文件操作员 财务
人力资源 操作系统/应用程序管理员 服务器配置文件操作员 人力资源
SRV 云 IT 服务器云管理员 服务器配置文件架构师 SRV 云
SRV 云 IT 服务器云管理员 作用域操作员 SRV 云
虚拟机云 IT 服务器管理员 服务器管理员 虚拟机云
虚拟机云 IT 网络管理员 网络管理员 虚拟机云
虚拟机云 IT 负责管理其机箱。下表简要说明了公司 IT 执行的分析结果,以确定必须分配给虚拟机云作用域的资源。
操作 分析
创建网络 由虚拟机云 IT 创建并自动添加到虚拟机云作用域中。SAN 被视为共享资源,而不受作用域限制。允许虚拟机云 IT 将 SAN 分配给光纤通道 (FC) 和以太网光纤通道 (FCoE) 网络。
创建网络集 由虚拟机云 IT 创建并自动添加到虚拟机云作用域中。仅允许虚拟机云 IT 将虚拟机云 IT 创建的网络分配给虚拟机云网络集。
创建逻辑互连模块组 由虚拟机云 IT 创建并自动添加到虚拟机云作用域中。仅允许虚拟机云 IT 将虚拟机云创建的网络分配给上行链路集。
创建机箱组 由虚拟机云 IT 创建并自动添加到虚拟机云作用域中。仅允许虚拟机云 IT 将虚拟机云 IT 创建的逻辑互连模块组分配给机箱组。
创建逻辑机箱 由虚拟机云 IT 创建并自动添加到虚拟机云作用域中。在该操作期间创建的逻辑互连模块将自动添加到虚拟机云作用域中。虚拟机云 IT 需要访问分配给虚拟机云试验项目的机箱。公司 IT 必须将三个机箱分配给虚拟机云作用域。由于固件包受作用域限制,因此,虚拟机云 IT 需要访问批准的固件包。公司 IT 必须将授权的固件包分配给虚拟机云作用域。
打开或关闭互连模块电源/刷新互连模块 为了让虚拟机云 IT 可管理虚拟机云互连模块,公司 IT 必须将虚拟机云机箱中的互连模块分配给虚拟机云作用域。
打开或关闭驱动器机箱电源/刷新驱动器机箱 为了让虚拟机云 IT 可管理虚拟机云机箱中的驱动器机箱,公司 IT 必须将这些驱动器机箱分配给虚拟机云作用域。
启动控制台/打开或关闭服务器硬件电源/重置/刷新服务器硬件 公司 IT 必须将虚拟机云机箱中的刀片分配给虚拟机云作用域。
创建服务器配置文件模板 由虚拟机云 IT 创建并自动添加到虚拟机云作用域中。要将资源分配给服务器配置文件模板,虚拟机云 IT 需要访问固件包、网络、网络集和卷模板。公司 IT 必须将授权的卷模板分配给虚拟机云作用域。没有为该试验项目配置 Image Streamer。因此,不需要访问操作系统部署计划。
创建服务器配置文件 由虚拟机云 IT 创建并自动添加到虚拟机云作用域中。除了上面授予的权限以外,虚拟机云 IT 还需要访问服务器硬件。
公司 IT 为 SRV 云作用域执行了类似的分析。仅允许 SRV 云 IT 用户执行与服务器相关的操作。下表简要说明了分析结果:
操作 分析
启动控制台/打开或关闭服务器硬件电源/重置/刷新服务器硬件 公司 IT 需要将 SRV 云机箱中的刀片分配给 SRV 云作用域。
创建服务器配置文件模板 由 SRV 云 IT 创建并自动添加到 SRV 云作用域中。要将资源分配给服务器配置文件模板,SRV 云 IT 需要访问固件包、网络和网络集。

公司 IT 必须将固件包、网络和网络集分配给 SRV 云作用域。

创建服务器配置文件 由 SRV 云 IT 创建并自动添加到 SRV 云作用域中。除了上面授予的权限以外,SRV 云 IT 还需要访问服务器硬件。
将 SRV 云资源分配给人力资源和财务作用域 将资源分配给作用域时,将执行更新使用授权检查。例如,要将刀片分配给人力资源作用域,SRV 云 IT 需要对人力资源作用域的更新权限和对服务器硬件的使用权限。此外,还必须将人力资源作用域和该刀片都分配给 SRV 云作用域。仅允许 SRV 云 IT 更新人力资源和财务作用域。将资源分配给作用域时,不存在层次结构的概念。将作用域分配给作用域将限制可对该作用域执行的操作;但不影响访问分配给其中任意一个作用域的资源。

公司 IT 必须将人力资源和财务作用域实例分配给 SRV 云作用域。

最后,公司 IT 完成人力资源和财务作用域分析。
操作 分析
启动控制台/打开或关闭服务器硬件电源/重置/刷新服务器硬件 SRV 云 IT 负责将 SRV 云服务器硬件分配给人力资源和财务作用域。
更新服务器配置文件 SRV 云 IT 负责将 SRV 云服务器配置文件分配给人力资源和财务作用域。还允许 SRV 云 IT 将 SRV 云固件包分配给人力资源和财务作用域。SRV 云 IT 仍在讨论是否允许人力资源和财务用户更新服务器固件。
概括来讲,试验项目的身份验证模型定义了 4 个权限作用域和 9 个具有关联权限的目录组帐户。
权限作用域 公司 IT 显式地分配给该作用域的资源
财务
人力资源
SRV 云

SRV 云试验项目的两个专用机箱中包含的刀片。

批准 SRV 云 IT 使用的固件包。

批准 SRV 云 IT 使用的网络。

财务和人力资源作用域资源实例。需要使用该实例以允许 SRV 云 IT 将 SRV 云资源分配给财务和人力资源作用域。

虚拟机云

虚拟机云试验项目的三个专用机箱。

三个机箱中包含的刀片。

三个机箱中包含的互连模块。

三个机箱中包含的驱动器机箱。

批准虚拟机云 IT 使用的固件包。

批准虚拟机云 IT 使用的卷模板。

目录组 权限
CorpIT-FULL (基础架构管理员,所有资源)
CorpIT-NA (网络管理员,所有资源)
CorpIT-SA (服务器管理员,所有资源)
CorpIT-StA (存储管理员,所有资源)
Finance-Admins (服务器配置文件操作员,财务)
HR-Admins (服务器配置文件操作员,人力资源)
SRVCloudIT-Admins (服务器配置文件架构师,SRV 云);(作用域操作员,SRV 云)
VMCloudIT-SA (服务器管理员,虚拟机云)
VMCloudIT-NA (网络管理员,虚拟机云)