Mở rộng quyền với Tag

Bizfly Cloud Identify and access management là dịch vụ hỗ trợ để quản lí và phân quyền cho các dịch vụ của Bizfly Cloud. Hiện tại bên cạnh việc hỗ trợ gán phân quyền theo role có sẵn (Member, Maintainer, etc), Bizfly Cloud cũng có hỗ trợ việc gán role tuỳ chỉnh (custome role) do người dùng (owner/org) tạo ra. Tuy nhiên một bất cập đó là trong một số tình huống để có thể sử dụng với việc mở rộng quyền hạn (permission) hay kế thừa role đối với một số tổ chức với quy mô nhiều có thể khó khăn khi phải tuỳ chỉnh và tạo mới nhiều custom role. Để giải quyết vấn đề này Bizfly Cloud có bổ sung một tính năng cho phép người dùng có thể mở rộng quyền hạn của role hơn.

Vậy Tag là gì ?

Tag là một tính năng cho phép người dùng gán “nhãn” tới các đối tượng để sử dụng chung một mục đích. Đối với hệ thống Bizfly Cloud, “Tag” sẽ giúp người dùng có thể mở rộng các quyền hạn (permission) thông qua việc kế thừa role mà không cần phải thay đổi role của người dùng đó. Ví dụ 2 người dùng A, B (user) đều được gán role “Cloud Server” với quyền hạn thao tác chỉ vỡi dịch vụ “Cloud Server”. Tuy nhiên trong một tình huống đặc thù tạm thời hay mở rộng quyền hạn của user B với mong muốn thì người quản lý cần phải tạo một role tuỳ chỉnh khác (gồm có CDN và CS) để user B có quyền hạn

image

Để giải quyết vấn đề này phía Bizfly Cloud cung cấp thêm tính năng Tag giúp cho người quản lý có thể mở rộng hay kế thừa được quyền hạn của người dùng mà không cần phải thay đổi role.

image

Bước 1:

Truy cập vào Dashboard của dịch vụ IAM

Bước 2:

Lựa chọn sidebar tab bên trái góc giao diện màn hình của IAM để vào giao diện phần quản lý tag và nhấn vào “thêm mới tag”

Màn hình hiển thị thêm mới tag sẽ hiện ra, nhập các thông tin cần thiết vào.

Lưu ý: người dùng sẽ cần lựa chọn các project cụ thể với tag cụ thể.

image

Trong ví dụ này, chúng ta sẽ tạo ra 2 role là server với cdn ứng với nhãn quyền thao tác với dịch vụ Cloud Server và CDN tương ứng. Sau khi khởi tạo các tag cần thiết màn hình tag sẽ hiển thị như sau

image

Tiếp sau đó chúng ta sẽ vào giao diện role để tiến hành tạo ra 2 role tương ứng vỡi quyền hạn cho phép người dùng thao tác với Cloud ServerCDN ở project devops_test@vccloud.vn

ở đây chúng ta sẽ tạo ra role server có quyền truy cập với dịch vụ Cloud Server ở project devops_test@vccloud.vn

image

tương tự đây chúng ta sẽ tạo ra role cdn có quyền truy cập với dịch vụ CDN ở project devops_test@vccloud.vn

image

Sau khi tạo xong ta sẽ có 2 role tuỳ chỉnh (custom role) được hiển thị ở giao diện role của IAM

image

Tiếp theo hãy để ý trong mỗi role sẽ có thêm mục “gán tag tại đây”, click vào và tiến hành tạo nhãn tag mà ban nãy chúng ta đã tạo ra.

Lưu ý: khi người dùng gõ tên nhãn tag mong muốn, thì cần phải enter để hệ thống có thế ghi nhận như trong hình sau đó mới tiến hành xác nhận để cập nhật.

image

Kết quả sau khi cập nhật cho 2 role tuỳ chỉnh (custom role)

image

Tiếp theo để có thể phân quyền cho người dùng hay di chuyển tới giao diện quản lí user và tiến hành tương tự với tag cần chỉ định

Thực hiện cập nhật các nhãn tag mà ban nãy chúng ta đã gán ở phần giao diện role cho user mà chúng ta mong muốn mở rộng quyền hạn.

Một lưu ý đó là trong việc kế thừa thì tag đứng sau sẽ ghi đề lên tag đứng trước đó (nếu ứng với role được gán tag đó có những quyền hạn - permission trùng lặp nhau)

Ví dụ: role CS 1 với tag cs1 có quyền truy cập vào server A, role CS2 tag cs2 không có quyền truy cập vào server A. Vậy khi sau gán cho user A với tag là cs1, cs2 thì user A đó sẽ không có quyền truy cập vào server A do tag cs2 đứng sau tag cs1 sẽ ghi đè lên.

image

Kết quả quyền hạn

image

Như vậy là tài khoản user được gán quyền sẽ có quyền truy cập vào hệ thống dịch vụ Cloud ServerCDN.

Trong trường hợp người quản lý sau đó chỉ muốn tài khoản người dùng chỉ được phép truy cập vào cdn thì có thể remove tag server ra là người dùng đó sẽ ko còn quyền vào dịch vụ Cloud Server nữa

Hướng dẫn Tạo custom role (Tạo role với các quyền tự quy định)