示例:定义权限作用域
在上一步中,公司 IT 确认了 10 种权限。6 种权限受 4 个不同的作用域限制。公司 IT 需要创建 4 个作用域:虚拟机云、SRV 云、人力资源和财务。
部门 | 功能 | 权限角色 | 权限作用域 |
---|---|---|---|
公司 IT | 高级技术专家 | 基础架构管理员 | 所有资源 |
公司 IT | 服务器管理员 | 服务器管理员 | 所有资源 |
公司 IT | 网络管理员 | 网络管理员 | 所有资源 |
公司 IT | 存储器管理员 | 存储管理员 | 所有资源 |
财务 | 操作系统/应用程序管理员 | 服务器配置文件操作员 | 财务 |
人力资源 | 操作系统/应用程序管理员 | 服务器配置文件操作员 | 人力资源 |
SRV 云 IT | 服务器云管理员 | 服务器配置文件架构师 | SRV 云 |
SRV 云 IT | 服务器云管理员 | 作用域操作员 | SRV 云 |
虚拟机云 IT | 服务器管理员 | 服务器管理员 | 虚拟机云 |
虚拟机云 IT | 网络管理员 | 网络管理员 | 虚拟机云 |
虚拟机云 IT 负责管理其机箱。下表简要说明了公司 IT 执行的分析结果,以确定必须分配给虚拟机云作用域的资源。
操作 | 分析 |
---|---|
创建网络 | 由虚拟机云 IT 创建并自动添加到虚拟机云作用域中。SAN 被视为共享资源,而不受作用域限制。允许虚拟机云 IT 将 SAN 分配给光纤通道 (FC) 和以太网光纤通道 (FCoE) 网络。 |
创建网络集 | 由虚拟机云 IT 创建并自动添加到虚拟机云作用域中。仅允许虚拟机云 IT 将虚拟机云 IT 创建的网络分配给虚拟机云网络集。 |
创建逻辑互连模块组 | 由虚拟机云 IT 创建并自动添加到虚拟机云作用域中。仅允许虚拟机云 IT 将虚拟机云创建的网络分配给上行链路集。 |
创建机箱组 | 由虚拟机云 IT 创建并自动添加到虚拟机云作用域中。仅允许虚拟机云 IT 将虚拟机云 IT 创建的逻辑互连模块组分配给机箱组。 |
创建逻辑机箱 | 由虚拟机云 IT 创建并自动添加到虚拟机云作用域中。在该操作期间创建的逻辑互连模块将自动添加到虚拟机云作用域中。虚拟机云 IT 需要访问分配给虚拟机云试验项目的机箱。公司 IT 必须将三个机箱分配给虚拟机云作用域。由于固件包受作用域限制,因此,虚拟机云 IT 需要访问批准的固件包。公司 IT 必须将授权的固件包分配给虚拟机云作用域。 |
打开或关闭互连模块电源/刷新互连模块 | 为了让虚拟机云 IT 可管理虚拟机云互连模块,公司 IT 必须将虚拟机云机箱中的互连模块分配给虚拟机云作用域。 |
打开或关闭驱动器机箱电源/刷新驱动器机箱 | 为了让虚拟机云 IT 可管理虚拟机云机箱中的驱动器机箱,公司 IT 必须将这些驱动器机箱分配给虚拟机云作用域。 |
启动控制台/打开或关闭服务器硬件电源/重置/刷新服务器硬件 | 公司 IT 必须将虚拟机云机箱中的刀片分配给虚拟机云作用域。 |
创建服务器配置文件模板 | 由虚拟机云 IT 创建并自动添加到虚拟机云作用域中。要将资源分配给服务器配置文件模板,虚拟机云 IT 需要访问固件包、网络、网络集和卷模板。公司 IT 必须将授权的卷模板分配给虚拟机云作用域。没有为该试验项目配置 Image Streamer。因此,不需要访问操作系统部署计划。 |
创建服务器配置文件 | 由虚拟机云 IT 创建并自动添加到虚拟机云作用域中。除了上面授予的权限以外,虚拟机云 IT 还需要访问服务器硬件。 |
公司 IT 为 SRV 云作用域执行了类似的分析。仅允许 SRV 云 IT 用户执行与服务器相关的操作。下表简要说明了分析结果:
操作 | 分析 |
---|---|
启动控制台/打开或关闭服务器硬件电源/重置/刷新服务器硬件 | 公司 IT 需要将 SRV 云机箱中的刀片分配给 SRV 云作用域。 |
创建服务器配置文件模板 | 由 SRV 云 IT 创建并自动添加到 SRV 云作用域中。要将资源分配给服务器配置文件模板,SRV 云 IT 需要访问固件包、网络和网络集。 公司 IT 必须将固件包、网络和网络集分配给 SRV 云作用域。 |
创建服务器配置文件 | 由 SRV 云 IT 创建并自动添加到 SRV 云作用域中。除了上面授予的权限以外,SRV 云 IT 还需要访问服务器硬件。 |
将 SRV 云资源分配给人力资源和财务作用域 | 将资源分配给作用域时,将执行更新 和使用 授权检查。例如,要将刀片分配给人力资源作用域,SRV 云 IT 需要对人力资源作用域的更新 权限和对服务器硬件的使用 权限。此外,还必须将人力资源作用域和该刀片都分配给 SRV 云作用域。仅允许 SRV 云 IT 更新人力资源和财务作用域。将资源分配给作用域时,不存在层次结构的概念。将作用域分配给作用域将限制可对该作用域执行的操作;但不影响访问分配给其中任意一个作用域的资源。公司 IT 必须将人力资源和财务作用域实例分配给 SRV 云作用域。 |
最后,公司 IT 完成人力资源和财务作用域分析。
操作 | 分析 |
---|---|
启动控制台/打开或关闭服务器硬件电源/重置/刷新服务器硬件 | SRV 云 IT 负责将 SRV 云服务器硬件分配给人力资源和财务作用域。 |
更新服务器配置文件 | SRV 云 IT 负责将 SRV 云服务器配置文件分配给人力资源和财务作用域。还允许 SRV 云 IT 将 SRV 云固件包分配给人力资源和财务作用域。SRV 云 IT 仍在讨论是否允许人力资源和财务用户更新服务器固件。 |
概括来讲,试验项目的身份验证模型定义了 4 个权限作用域和 9 个具有关联权限的目录组帐户。
权限作用域 | 公司 IT 显式地分配给该作用域的资源 |
---|---|
财务 | 无 |
人力资源 | 无 |
SRV 云 | SRV 云试验项目的两个专用机箱中包含的刀片。 批准 SRV 云 IT 使用的固件包。 批准 SRV 云 IT 使用的网络。 财务和人力资源作用域资源实例。需要使用该实例以允许 SRV 云 IT 将 SRV 云资源分配给财务和人力资源作用域。 |
虚拟机云 | 虚拟机云试验项目的三个专用机箱。 三个机箱中包含的刀片。 三个机箱中包含的互连模块。 三个机箱中包含的驱动器机箱。 批准虚拟机云 IT 使用的固件包。 批准虚拟机云 IT 使用的卷模板。 |
目录组 | 权限 |
---|---|
CorpIT-FULL | (基础架构管理员,所有资源) |
CorpIT-NA | (网络管理员,所有资源) |
CorpIT-SA | (服务器管理员,所有资源) |
CorpIT-StA | (存储管理员,所有资源) |
Finance-Admins | (服务器配置文件操作员,财务) |
HR-Admins | (服务器配置文件操作员,人力资源) |
SRVCloudIT-Admins | (服务器配置文件架构师,SRV 云);(作用域操作员,SRV 云) |
VMCloudIT-SA | (服务器管理员,虚拟机云) |
VMCloudIT-NA | (网络管理员,虚拟机云) |