基于作用域的访问控制授权语义

可能需要执行多个授权检查以授权单个 HPE OneView 请求。例如,在收到更新请求时,始终执行更新授权检查。此外,如果更新请求组成新的关联(例如,将服务器配置文件分配给服务器硬件,将网络分配给网络集,或者将卷模板分配给服务器配置文件模板),则需要执行使用检查以授权创建新的关联。虽然需要单个授权检查请求以更改服务器配置文件名称,但将网络和卷添加到服务器配置文件的请求需要执行一个更新授权检查和两个使用授权检查。对于单个创建更新请求,可以通过不同的权限授权多个使用检查。

下表描述了 HPE OneView 执行的 5 种类型的授权检查:

操作 操作语义 授权检查语义 示例
创建 控制创建资源的权限。 必须具有一种权限,以便为用户授予资源类别的创建权限。如果单个作用域限制的权限授予创建权限,则将资源分配给权限作用域。如果多个作用域限制的权限授予创建权限,则必须指定所需的作用域。
注意:

如果一个或多个作用域限制的权限授予资源创建权限,则必须将其分配给某个作用域,以使用户能够对其执行操作。

如果在测试作用域中为用户授予了服务器管理员权限,则仅允许该用户在测试作用域中创建服务器配置文件。如果在测试和生产作用域中为用户授予了服务器管理员权限,则仅允许该用户在测试和生产作用域中创建服务器配置文件。
删除 控制删除资源的权限。 必须具有一种权限,以便为用户授予资源类别的删除权限。如果权限受作用域限制,则仅允许该用户删除分配给权限作用域的资源。
注意:

除非在 API 文档中明确注明属于例外情况,否则,无需对删除请求执行进一步的授权检查。这包括 HPE OneView 为将数据模型保持一致状态而执行的操作(例如,在删除机箱时删除服务器硬件和互连模块定义)。有关详细信息,请参阅HPE OneView API 参考

如果在测试作用域中为用户授予了服务器管理员权限,则仅允许该用户删除分配给测试作用域的服务器配置文件。

更新 控制修改资源的权限。这包括更改状态的资源。 必须具有一种权限,以便为用户授予资源类别的更新权限。如果权限受作用域限制,则仅允许该用户更新分配给权限作用域的资源。

如果在测试作用域中为用户授予了服务器管理员权限,则仅允许该用户打开/关闭分配给测试作用域的服务器电源。

读取 控制查看资源的权限。 必须具有一种权限,以便为用户授予资源类别的读取权限。读取权限不受作用域限制。  
使用 控制将一种资源与另一种资源关联的权限。将始终在创建更新操作上下文中检查“使用”权限。在取消分配资源时,不会检查使用权限。

例外情况:需要具有使用权限才能从关联的资源中取消分配模板(如服务器配置文件模板或卷模板)。

必须具有一种权限,以便为用户授予以下权限:
  • 角色必须具有请求资源类别的创建更新权限。

  • 角色必须具有关联的资源类别的使用权限。

  • 如果权限受作用域限制,则必须将请求资源关联的资源分配给权限作用域。

注意:

要分配的资源称为关联的资源,将其分配到的资源称为请求资源

如果在测试作用域中为用户授予了服务器管理员权限,则仅允许该用户将服务器硬件分配给测试作用域中的服务器配置文件,或者将网络分配给测试作用域中的网络集。

不过,在服务器配置文件中将服务器硬件设置为未分配或删除 SAN 存储卷时,不会执行使用检查。

更多信息