La gestion des Rôles des utilisateurs

Introduction

La ligne de produit Cloudwatt permet une gestion fine des rôles des utilisateurs. Ces rôles sont multiples et permettent de gérer les droits d’accès et les interactions autorisées avec :

  • les ressources de management (BSS) - pour manipuler les données de compte de facturation, visualiser la consommation par exemple,
  • les ressources compute, stockage et réseau (IAAS) - pour gérer les droits sur les tenants, sur la création de tenants notamment.

La gestion des rôles des utilisateurs des ressources de management

Relations Utilisateurs, Comptes, Tenants

Pour classer vos informations, Cloudwatt met à votre disposition plusieurs entités : utilisateurs, comptes (comptes de facturation), tenants. Cela vous permettra de créer des hiérarchies de comptes complexes répondant à vos différents cas d’utilisation. Le schéma ci-dessous représente une vue logique des relations entre ces différentes entités.

Image 01

Relations utilisateur/compte/tenant

Utilisateur

L’utilisateur est en général une personne physique (ou éventuellement un processus/script) qui dispose d’informations de connexion à la plateforme (email/mot de passe). Chaque utilisateur est identifié par un email de connexion. Vous pourrez également préciser les informations associées à cet utilisateur telles que le nom, prénom ou l’adresse.

Compte

Le compte (de facturation) est créé lors de votre souscription (soit online, soit via le service client) aux services Cloudwatt. Le compte regroupe les informations de facturation (nom de l’entreprise, nom du gestionnaire de compte, email de facturation, informations de paiement, factures notamment). Avec les droits adéquats, vous pourrez visualiser depuis le compte, vos informations de facturation, vos factures ou votre consommation par exemple. Note : Pour les clients partenaires Cloudwatt, il est possible d’obtenir des droits permettant de rattacher des comptes (comptes fils) sous un compte « parent ». Cela permet de créer des hiérarchies de comptes à 2 niveaux. C’est alors le compte de niveau supérieur qui réglera la consommation pour l’ensemble des comptes. Si cela correspond à un de vos cas d’utilisation rapprochez-vous du service client ou de votre contact commercial pour la mise en œuvre.

Tenant

Le tenant est associé à un compte. Il représente l’espace de travail openstack dans lesquels vous allez gérer l’ensemble de vos ressources IaaS (routeurs, instances, ip, etc.). Note : Pour les clients partenaires Cloudwatt, il est possible d’obtenir des droits permettant de créer plusieurs tenants rattachés à un même compte. Si cela correspond à un de vos cas d’utilisation rapprochez-vous du service client ou de votre contact commercial pour la mise en œuvre.

Droits d’accès utilisateur-compte

Des droits d’accès aux comptes sont ensuite donnés aux utilisateurs (symbolisés par la clé BSS Access sur le schéma).

Image 02

Concrètement les droits d’accès sont donnés par le biais d’un rôle affecté à un utilisateur sur un ou plusieurs comptes.

Note : Cette fonction est accessible depuis votre espace client https://www.cloudwatt.com/cockpit/#/contact dans l’onglet >Espace client>Compte>Rôles du compte

Image 03

Le rôle défini le niveau d’autorisation (droits d’accès à certaines ressources, actions de gestion autorisées) de l’utilisateur sur le compte en question. Il est possible de cumuler plusieurs rôles pour un même utilisateur.

La matrice des rôles BSS utilisateur-compte est la suivante :

Image 11

Tout utilisateur détenteur du droit « Support » bénéficie de la réception des communications techniques par les équipes Support de Cloudwatt.

Délégation de droits d’accès

Selon le rôle affecté à un utilisateur, celui-ci pourra ajouter et/ou être autorisé à déléguer des rôles à d’autres utilisateurs sur le compte.

Image 04

La matrice de délégation se présente comme suit :

Image 05

Image 06

Les droits associés aux rôles opentack_roles_manager et openstack_tenant_creator sont décrits dans la section suivante.

Droits d’accès utilisateur-tenant

Vous pouvez ajouter des droits d’accès aux tenants pour chacun de vos utilisateurs (symbolisés par la clé IaaS Access sur le schéma).

Image 07

Concrètement les droits d’accès sont donnés par le biais d’un rôle affecté à un utilisateur sur un ou plusieurs tenants. La matrice des droits d’accès pour un utilisateur sur un tenant se présente comme suit :

Image 08

Note : Cette fonction est accessible depuis votre espace client dans l’onglet >Espace client>Compte>Rôles du compte

La gestion des rôles des utilisateurs des ressources IaaS

L’administrateur, ou toute personne disposant du rôle “Gestionnaire des rôles Openstack”, peut ainsi contrôler les actions de configurations possibles sur les ressources cloud du tenant par utilisateur.

Par exemple, configurer un rôle de lecture seul, ajouter un rôle d’écriture…

Voici la description des rôles affectable :

Image 10

Il est à noter que :

  • Le role « Member » est équivalent à l’association des roles «VM_Administrator », « Network_Administrator » et « Security_Administrator ».
  • Les rôles sont cumulatifs. Par exemple l’administrateur peut attribuer les rôles «VM_Administrator » et « Network_Administrator » à un utilisateur au lieu de « Member ». Ainsi la capacité à créer/éditer des groupes de sécurité ne serait lui attribuer (role « Security_Administrator »).
  • Les rôles « Manage_Backup_Only” et “Import_Image_Only ” ont été introduits pour adresser des cas d’usages de robots de sauvegarde ou de gestionnaire d’image.

Dans le détail, voici les capacités d’actions sur les ressources cloud par rôle :

Image 09

MAJ : 22/04/2016