授予对作业的访问权限

使用 CLI 或 UI 授予对作业的访问权限

您可以使用 DC/OS UI、CLI 或 [API] 来实现对作业的细粒度用户访问。(/mesosphere/dcos/cn/2.1/security/ent/iam-api/). Metronome 权限 允许您在每项作业或每个作业组上限制用户对作业的访问。该部分为您介绍实现这一切的步骤。

前提条件：

• 必须 并以超级用户登户身份登录。
• 用于分配权限的用户帐户

通过 DC/OS UI

1. 以具有 权限的用户身份登录 DC/OS UI。

   图 1. DC/OS UI 登录

2. 选择组织，然后选择用户或组。

3. 在权限选项卡上，单击添加权限。

4. 单击插入权限字符串以切换对话框。

   

   图 3. 添加权限

5. 在权限字符串字段中复制并粘贴权限。根据您的[安全模式]选择权限字符串。(/mesosphere/dcos/cn/2.1/security/ent/#security-modes).

   • DC/OS 作业访问权限：

     指定您的作业组 (<job-group>)、作业名称 (<job-name>) 和操作 (<action>). 操作可以是 create、 read、 update、delete 或 . 若要允许多个操作，请使用逗号分隔它们，例如: dcos:service:metronome:metronome:jobs:<job-group>/<job-name> read,update.

   • DC/OS 服务任务和日志：

     dcos:adminrouter:ops:mesos full
     dcos:adminrouter:ops:slave full

1. 单击 ADD PERMISSIONS，然后单击 Close。

通过 CLI

• 必须 并以超级用户登户身份登录。

提示：

• 向组而不是用户授予权限，将 users grant <user-name> 替换为 groups grant <gid>.

• DC/OS 服务任务和日志：

  1. 授予用户权限 (<user-name>).

• DC/OS 作业访问权限：

  1. 授予作业组（<job-group>）和作业名称（<job-name>).）的权限。

     dcos security org users grant <user-name> adminrouter:service:metronome full --description "Controls access to Metronome services"
     dcos security org users grant <user-name> service:metronome:metronome:jobs:<job-group>/<job-name> full --description "Controls access to <job-group>/<job-name>"

• DC/OS 服务任务和日志：