有没有办法在 RunDeck ACL 中指定 'all except'?
Is there a way to specific 'all except' in RunDeck ACLs?
为了让用户看到一个特定的工作,但实际上不能用它做任何事情,我在相关的 .aclpolicy 文件中添加了以下内容(为简洁起见进行了编辑):
context:
project: '.*'
for:
job:
- deny: [run,create,delete,kill,killAs,runAs,scm_create,scm_delete,scm_update,toggle_execution,toggle_schedule,update,read]
equals:
uuid: ee70e193-733c-4cb2-bdf0-0d6672da563f
- allow: '*'
by:
group: [users]
此处的 deny 行列出了除 view 之外的所有可用操作。我希望我的用户能够访问所有其他作业(在上面的示例中,我有 '*' 用于允许的操作,仅作为示例)。
我想知道是否有办法将 deny 行缩短为 - deny: [!view] 之类的东西 - 基本上是 "everything except view" 快捷方式。
虽然上述方法有效,但我担心未来的更新可能会添加额外的操作,这些操作将可用于此作业,因为它们没有被明确拒绝。
默认情况下,Rundeck ACLs 拒绝所有操作(像网络防火墙一样工作,拒绝所有操作,您需要逐步打开),在您的情况下,您可以使用 - allow: [view].
编辑:现在不存在像问题这样的规则。
为了让用户看到一个特定的工作,但实际上不能用它做任何事情,我在相关的 .aclpolicy 文件中添加了以下内容(为简洁起见进行了编辑):
context:
project: '.*'
for:
job:
- deny: [run,create,delete,kill,killAs,runAs,scm_create,scm_delete,scm_update,toggle_execution,toggle_schedule,update,read]
equals:
uuid: ee70e193-733c-4cb2-bdf0-0d6672da563f
- allow: '*'
by:
group: [users]
此处的 deny 行列出了除 view 之外的所有可用操作。我希望我的用户能够访问所有其他作业(在上面的示例中,我有 '*' 用于允许的操作,仅作为示例)。
我想知道是否有办法将 deny 行缩短为 - deny: [!view] 之类的东西 - 基本上是 "everything except view" 快捷方式。
虽然上述方法有效,但我担心未来的更新可能会添加额外的操作,这些操作将可用于此作业,因为它们没有被明确拒绝。
默认情况下,Rundeck ACLs 拒绝所有操作(像网络防火墙一样工作,拒绝所有操作,您需要逐步打开),在您的情况下,您可以使用 - allow: [view].
编辑:现在不存在像问题这样的规则。