为了使用户看到特定的工作,但实际上却无能为力,我在相关的.aclpolicy文件中(为了简洁起见,将其替换为以下内容:]
context:
project: '.*'
for:
job:
- deny: [run,create,delete,kill,killAs,runAs,scm_create,scm_delete,scm_update,toggle_execution,toggle_schedule,update,read]
equals:
uuid: ee70e193-733c-4cb2-bdf0-0d6672da563f
- allow: '*'
by:
group: [users]
此处的deny
行列出了除view
以外的所有可用动作。我希望我的用户可以访问所有其他作业(在上面的示例中,仅作为示例,我对允许的操作具有'*'
)。
[我想知道的是是否有一种方法可以将deny
行缩短为- deny: [!view]
之类的东西-基本上是“除视图之外的所有东西”快捷方式。
虽然上述方法有效,但我担心以后的更新可能会添加额外的操作,由于未明确拒绝这些操作,因此这些操作将可用于此作业。
默认情况下,Rundeck ACL拒绝所有操作(就像网络防火墙一样,拒绝所有操作,您需要逐步打开它,在这种情况下,可以使用- allow: [view]
。
编辑:现在不存在类似问题的规则。