Melhorias no controle de acesso baseado em função no Red Hat Ansible Automation Platform 2.5

25 de fevereiro de 2025Fred van Zwieten3 minutos (tempo de leitura)

Agora que o Red Hat Ansible Automation Platform 2.5 está disponível com uma série de excelentes novas funcionalidades, vamos ver mais de perto as melhorias no sistema de controle de acesso baseado em função (RBAC). Pode ser complicado alinhar o modelo padrão com diferentes estruturas organizacionais. Por isso, nossas melhorias mais recentes foram feitas para tornar essa integração mais simples e intuitiva.

Teste o Ansible Automation Platform

Os usuários da plataforma geralmente querem criar seus próprios objetos, como projetos, inventários e credenciais, seja para uso pessoal ou para suas equipes. No entanto, isso não era possível para esses tipos de objetos, mesmo sendo fundamentais para a criação de templates de tarefas. Você só poderia criar seus próprios templates usando projetos, inventários e credenciais existentes se alguém com as funções de administrador certas concedesse a você o acesso correto.

No Ansible Automation Platform 2.5, o sistema RBAC foi aprimorado para oferecer aos usuários uma maneira mais intuitiva de configurar o modelo RBAC. Ele inclui:

A capacidade de criar funções personalizadas
A capacidade de ter permissões "adicionar" separadas em tipos de conteúdo
A introdução aos administradores de equipe

Vejamos cada uma dessas novas funcionalidades individualmente.

Funções personalizadas

A primeira é a capacidade de criar funções personalizadas. Esta é uma captura de tela da nova IU para funções na seção Access Management (Gerenciamento do acesso):

Access Management -> Roles page with tabs for Automation Execution, Automation Decisions and Automation Content. On each tab is a new button to Create a role and the list of existing roles indicates if a role is Built-in or Editable.

Como você pode ver, agora temos um local central para gerenciar o acesso, uma das principais melhorias no Ansible Automation Platform 2.5. Isso inclui guias para execução de automação, decisões de automação e conteúdo de automação, os três principais componentes da plataforma. No exemplo acima, você vê a guia de Automation Execution (Execução de automação), onde agora você pode criar funções. Na lista, você vê quais funções são integradas e quais não são.

Vejamos o que é necessário para criar uma nova função personalizada:

The Create role page where you can specify a name and optionally a Description for the new custom role. A dropdown is there to choose the Content type (Inventory, Credential, Organization, etc)

Primeiro, você precisa dar um nome e uma descrição opcional à função personalizada. Em seguida, você escolhe um único tipo de conteúdo para ela, por exemplo: Inventory (inventário).

After choosing the content type in the Create Role page, you can choose multiple permissions from this content type using a dropdown menu for this custom role.

Após escolher o tipo de conteúdo, você pode escolher várias permissões desse tipo de conteúdo para a função personalizada.

Ao criar funções personalizadas, você pode distingui-las das funções integradas na lista como sendo marcadas como "editable" (editáveis). É possível atribuir essas funções a equipes e usuários da mesma maneira que atribui funções integradas.

Permissões de adição

O segundo aprimoramento é ter permissões "add" (adicionar) no nível organizacional. Veja como você pode criar uma função personalizada que permite incluir permissões "add" separadas em projetos, inventários, credenciais e fluxos de trabalho (como exemplo):

In the Create Role page, the Content Type "Organization" has new “add” permissions for credential, inventory, project, etc.

Novamente, você pode atribuir essa função personalizada a qualquer equipe ou usuário na sua empresa. Com essas funções atribuídas, um usuário pode criar projetos, inventários, credenciais e fluxos de trabalho na empresa sem precisar ser um administrador para esses tipos de conteúdo.

Quando o usuário cria esses objetos, ele se tornará administrador deles automaticamente. Veja um exemplo de um projeto criado dessa maneira:

On the User Access tab of the Project details page you find that the user that created the project is, because of the new “Add Project” permission, now Project Admin of the project the user created.

Além das pessoas com funções de nível admin, ninguém mais tem acesso a esses novos objetos, a não ser o usuário que os criou. Ele ou ela pode adicionar usuários ou equipes específicos ao objeto recém-criado.

Função de administrador da equipe

Por fim, agora há a opção de atribuir um ou mais usuários como administradores da equipe. Veja isso na tela abaixo:

The team details page now has an “Add administrators” tab where you can add users as team administrators.

Os administradores da equipe podem ser qualquer usuário na organização da equipe. Eles não precisam ser membros da equipe primeiro. Então, o que um administrador pode fazer que um membro da equipe não pode? Alterar qualquer coisa relacionada à equipe, incluindo associações, administradores, detalhes e funções.

A capacidade de criar funções personalizadas não se limita à guia Automation Execution (Execução de automação), mas também é possível com o modelo RBAC para as guias Automation Decisions (Decisões de automação) e Automation Content (Conteúdo de automação), e o mesmo vale para adicionar permissões.

Sobre o autor

Fred van Zwieten

Senior Specialist Solution Architect - Ansible

Fred is working in IT for all his professional life and for Red Hat since 2014. he likes to keep things as simple as possible (but not simpler) as it otherwise gets very complicated very fast. Fred lives in the coastal area of the Netherlands and spent a lot of time in the Mountains of Austria Skiing and Hiking. He loves reading, documentaries, movies and series (mostly SF and who-dun-it), and contemplating life as a Dharma Student.

Read full bio