Перейти к содержанию

Разрешения пользователей для рабочих процессов

  • Latest Dynatrace

Разрешения для Workflows и AutomationEngine API

Приложение Workflows, которое является фронтендом для AutomationEngine, позволяет редактировать, управлять и запускать рабочие процессы в Dynatrace.

  • Для использования Workflows вам необходимы некоторые общие разрешения AppEngine и специфические разрешения AutomationEngine.
  • Разрешения настраиваются в администрировании аккаунта и требуют прав администратора аккаунта.
  • Если у вас отсутствуют необходимые разрешения, обратитесь к администратору вашего аккаунта.

Мы рекомендуем администраторам разграничивать обычных пользователей и администраторов следующим образом.

Настройки авторизации AutomationEngine

Если необходимое разрешение для задачи рабочего процесса отсутствует, попытка выполнить эту задачу приводит к ошибке 403 Forbidden.

Всегда убеждайтесь:

  • У вас есть необходимые разрешения, предоставленные в Account Management.
  • Вы предоставили все необходимые разрешения для запуска рабочих процессов в настройках авторизации.

Чтобы включить или изменить настройки авторизации AutomationEngine:

  1. В приложении Workflows перейдите в Settings > Authorization settings.
  2. Включите необходимые разрешения из списков Primary permissions и Secondary permissions.

Пользователь Workflows

Пользователь Workflows создаёт, редактирует, запускает и отслеживает рабочие процессы.

Для доступа к Workflows и просмотра рабочих процессов вам необходимы как минимум следующие разрешения.

1

Перечисленные условия представляют собой наиболее ограничительный способ применения разрешений, при котором доступ к истории выполнения сохраняется. Любое менее ограничительное применение этих разрешений также обеспечит необходимый доступ.

Для создания и выполнения рабочих процессов необходимы следующие дополнительные разрешения.

Разрешение Предоставляет доступ к
app-engine:functions:run Использование исполнителя функций.
automation:workflows:run Запуск рабочих процессов вручную через пользовательский интерфейс или API.
automation:workflows:write Создание рабочих процессов. Включает создание, обновление и удаление рабочего процесса. Также включает конфигурацию рабочего процесса с активным расписанием или конфигурацией триггеров событий. Таким образом, рабочий процесс запускается на основе этих конфигураций.

Вы можете предоставить пользователям разрешение automation:workflows:write с указанием условия automation:workflow-type = "SIMPLE". Это означает, что они могут создавать рабочие процессы с одним триггером и задачей. Поскольку простые рабочие процессы не потребляют часы рабочих процессов, это удобный способ предоставить более широкому кругу пользователей доступ к рабочим процессам без влияния на стоимость.

Эти разрешения предоставляют доступ к самим рабочим процессам. Для успешного выполнения задач рабочего процесса актору могут потребоваться дополнительные разрешения.

Администратор Workflows

Администратор Workflows может:

  • Получать доступ ко всем рабочим процессам и выполнениям в среде.
  • Управлять рабочими процессами и выполнениями, когда владелец недоступен.
  • Импортировать или редактировать рабочие процессы, сохраняя актора и владельца рабочего процесса, что в большинстве случаев желательно при переносе рабочих процессов между средами.

Для администрирования рабочих процессов вам необходимо следующее разрешение в дополнение ко всем разрешениям пользователя.

Разрешение Предоставляет доступ к
automation:workflows:admin Администрирование рабочих процессов.

Чтобы включить режим Workflow admin в Workflows:

  1. Убедитесь, что у вас есть разрешение automation:workflows:admin в дополнение ко всем обычным разрешениям пользователя.
  2. Выберите Settings в правом верхнем углу приложения Workflows.
  3. Включите режим Workflow admin.

Чтобы выйти из режима Workflow admin и использовать Workflows как обычный пользователь, выключите переключатель Workflow admin.

Владелец рабочего процесса

Первоначальным владельцем рабочего процесса является пользователь, который его создал. Сразу после создания рабочего процесса только владелец может просматривать, управлять и выполнять его. Это приватный рабочий процесс.

Чтобы предоставить другим доступ к рабочему процессу, владелец имеет следующие возможности:

  • Сделать рабочий процесс публичным. Публичный рабочий процесс виден каждому пользователю с разрешениями automation:workflows:*.
  • Передать владение другому пользователю. Подробности см. в разделе Смена владельца рабочего процесса.
  • Передать владение группе, в этом случае все участники группы могут получить доступ к рабочему процессу в зависимости от их разрешений.

Доступ к выполнению и владение

Доступ к выполнению зависит от владения рабочим процессом и конфигурации приватности/публичности на момент запуска выполнения.

  • Доступ к выполнению всегда оценивается в момент начала выполнения.
  • Изменение владения рабочим процессом или его видимости не влияет на прошлые выполнения; оно затрагивает только будущие выполнения.

Администратор

Администратор имеет доступ ко всем рабочим процессам и выполнениям в среде.

  • Администратор может управлять всеми рабочими процессами и выполнениями.
  • Никакие ограничения видимости или владения не применяются к администратору.

Актор рабочего процесса

Каждое выполнение задачи рабочего процесса производится в контексте пользователя.

Чтобы определить актора рабочего процесса:

  1. Откройте рабочий процесс в редакторе рабочих процессов.
  2. Выберите More actions > Settings.

  3. Проверьте панель деталей, где вы найдёте информацию об акторе.

  4. Этот пользователь называется актором.

  5. Актор настраивается для каждого рабочего процесса.
  6. По умолчанию актором является создатель рабочего процесса.

При первом запуске рабочего процесса в среде Dynatrace запрашивает разрешение на выполнение рабочих процессов AutomationEngine от вашего имени.

  • Вам необходимо дать согласие на набор разрешений, которые AutomationEngine может использовать при выполнении рабочих процессов с вами в качестве актора.
  • Эти разрешения привязаны к разрешениям, которые у вас уже есть, и никогда не могут их превышать.

Обновление актора

Пользователь, обновляющий рабочий процесс, автоматически назначается актором. Это предотвращает эксплойты, при которых пользователь изменяет рабочий процесс для выполнения действий в контексте другого пользователя.

  • Актор остаётся неизменным, если обновление рабочего процесса выполняется пользователем в режиме Workflow admin или если актор назначен сервисному пользователю.
  • Вы можете использовать только те сервисные пользователи, которые вам предоставлены.

Сервисные пользователи

По умолчанию актором рабочего процесса является пользователь, создавший его. Однако существует возможность выбрать неинтерактивного сервисного пользователя в качестве актора рабочего процесса. Это делает рабочий процесс независимым от статуса пользователя, который его поддерживает.

Мы настоятельно рекомендуем использовать сервисных пользователей в качестве акторов для всех рабочих процессов, над которыми ведётся совместная работа и которые используются в рабочих сценариях.

Сервисные пользователи и их разрешения управляются администраторами через управление идентификацией и доступом. Мы настоятельно рекомендуем предоставлять сервисному пользователю только те разрешения, которые необходимы для предполагаемого сценария использования.

Чтобы назначить сервисного пользователя актором рабочего процесса:

  1. Откройте рабочий процесс в редакторе рабочих процессов.
  2. Выберите More actions > Settings.
  3. Выберите сервисного пользователя из списка Actor.
  4. Сохраните изменения.

Пользователь, редактирующий рабочий процесс, должен иметь разрешение iam:service-users:use для использования сервисного пользователя в качестве актора. Вы можете создать политику следующим образом, чтобы разрешить конкретных сервисных пользователей.

ALLOW iam:service-users:use


WHERE iam:service-user-email IN ("<SERVICE_USER_1_EMAIL>", "<SERVICE_USER_2_EMAIL>");

Подробнее см. Сервисные пользователи