基于作用域的访问控制授权语义
可能需要执行多个授权检查以授权单个 HPE OneView 请求。例如,在收到更新请求时,始终执行更新
授权检查。此外,如果更新
请求组成新的关联(例如,将服务器配置文件分配给服务器硬件,将网络分配给网络集,或者将卷模板分配给服务器配置文件模板),则需要执行使用
检查以授权创建新的关联。虽然需要单个授权检查请求以更改服务器配置文件名称,但将网络和卷添加到服务器配置文件的请求需要执行一个更新
授权检查和两个使用
授权检查。对于单个创建
或更新
请求,可以通过不同的权限授权多个使用
检查。
下表描述了 HPE OneView 执行的 5 种类型的授权检查:
操作 | 操作语义 | 授权检查语义 | 示例 |
---|---|---|---|
创建 | 控制创建资源的权限。 | 必须具有一种权限,以便为用户授予资源类别的创建 权限。如果单个作用域限制的权限授予创建 权限,则将资源分配给权限作用域。如果多个作用域限制的权限授予创建 权限,则必须指定所需的作用域。注意:
如果一个或多个作用域限制的权限授予资源创建权限,则必须将其分配给某个作用域,以使用户能够对其执行操作。 |
如果在测试作用域中为用户授予了服务器管理员权限,则仅允许该用户在测试作用域中创建服务器配置文件。如果在测试和生产作用域中为用户授予了服务器管理员权限,则仅允许该用户在测试和生产作用域中创建服务器配置文件。 |
删除 | 控制删除资源的权限。 | 必须具有一种权限,以便为用户授予资源类别的删除 权限。如果权限受作用域限制,则仅允许该用户删除分配给权限作用域的资源。注意:
除非在 API 文档中明确注明属于例外情况,否则,无需对删除请求执行进一步的授权检查。这包括 HPE OneView 为将数据模型保持一致状态而执行的操作(例如,在删除机箱时删除服务器硬件和互连模块定义)。有关详细信息,请参阅《HPE OneView API 参考》。 |
如果在测试作用域中为用户授予了服务器管理员权限,则仅允许该用户删除分配给测试作用域的服务器配置文件。 |
更新 | 控制修改资源的权限。这包括更改状态的资源。 | 必须具有一种权限,以便为用户授予资源类别的更新 权限。如果权限受作用域限制,则仅允许该用户更新分配给权限作用域的资源。 |
如果在测试作用域中为用户授予了服务器管理员权限,则仅允许该用户打开/关闭分配给测试作用域的服务器电源。 |
读取 | 控制查看资源的权限。 | 必须具有一种权限,以便为用户授予资源类别的读取 权限。读取权限不受作用域限制。 |
|
使用 | 控制将一种资源与另一种资源关联的权限。将始终在
创建 或更新 操作上下文中检查“使用”权限。在取消分配资源时,不会检查使用 权限。例外情况:需要具有 |
必须具有一种权限,以便为用户授予以下权限:
注意:
要分配的资源称为 |
如果在测试作用域中为用户授予了服务器管理员权限,则仅允许该用户将服务器硬件分配给测试作用域中的服务器配置文件,或者将网络分配给测试作用域中的网络集。 不过,在服务器配置文件中将服务器硬件设置为 |
详细信息