开通并授权使用CodeArts Pipeline
前提条件
开通流水线服务
流水线不支持单独购买,需配合CodeArts其他服务使用,开通任意CodeArts套餐即可使用。
- 进入流水线控制台。
- 页面提示前往购买CodeArts套餐,单击“购买”。
- 进入购买开通CodeArts页面,请根据需要购买相应套餐,购买开通方式请参考购买CodeArts。
授权流水线服务
流水线权限从上到下可以分成三个层级,分别控制不同模块不同粒度的用户行为。
- 租户级权限
通过统一身份认证服务,为指定用户配置流水线服务中租户级策略、租户级规则、扩展插件及流水线模板的权限。
- 使用租户账号或其他有权限的账号登录CodeArts。
- 单击右上角的用户名,选择“子账号管理”,进入统一身份认证服务控制台。
- 单击左侧导航“用户组”,进入用户组设置页面,新建一个用户组或选择已有用户组,单击“授权”,开始对用户组授权。
云服务选择“流水线服务”,即可查看“流水线服务”相关策略列表,包括以下四个策略:
表2 流水线系统策略 策略名称
描述
CloudPipeline Tenant Rules FullAccess
CodeArts租户规则全部权限,控制用户是否具有流水线服务租户级规则的全部权限。
- 规则权限对应统一身份认证服务中的“cloudpipeline:rule:update”,管理员可以通过“CloudPipeline Tenant Rules FullAccess”系统策略或自定义策略对用户进行授权。
- 普通用户可以查看全部租户级规则,有权限的用户可以查看和管理全部租户级规则。
CloudPipeline Tenant Rule Templates FullAccess
CodeArts租户策略全部权限,控制用户是否具有流水线服务租户级策略的全部权限。
- 策略权限对应统一身份认证服务中的“cloudpipeline:ruletemplate:update”,管理员可以通过“CloudPipeline Tenant Rule Templates FullAccess”系统策略或自定义策略对用户进行授权。
- 普通用户可以查看全部租户级策略,有权限的用户可以查看和管理全部租户级策略。
CloudPipeline Tenant Extensions FullAccess
CodeArts租户扩展插件全部权限,控制用户是否具有流水线服务扩展插件的全部权限。
- 扩展插件权限对应统一身份认证服务中的“cloudpipeline:extensions:update”,管理员可以通过“CloudPipeline Tenant Extensions FullAccess”系统策略或自定义策略对用户进行授权。
- 普通用户可以查看租户下全部插件,有权限的用户可以查看和管理租户下全部插件。
CloudPipeline Tenant Pipeline Templates FullAccess
CodeArts租户流水线模板全部权限,控制用户是否具有流水线服务流水线模板的全部权限。
- 流水线租户模板权限对应统一身份认证服务中的“cloudpipeline:pipelinetemplate:update”,管理员可以通过“CloudPipeline Tenant Pipeline Templates FullAccess”系统策略或自定义策略对用户进行授权。
- 普通用户可以创建模板、查看全部模板,但只能对自己创建的模板进行管理,有权限的用户可以查看和管理租户下全部模板。
- 勾选所需策略,单击“下一步”,设置最小授权范围,完成对用户组的授权。
- 最后,将指定用户加入用户组,即可完成对用户的授权。
除了使用系统策略,租户还可以通过创建自定义策略的方式进行授权。
- 项目级权限
CodeArts支持在项目下统一配置项目各角色对当前项目下流水线资源的默认操作权限。
- 登录华为云控制台页面。
- 单击页面左上角,在服务列表中选择“开发与运维 > 流水线 CodeArts Pipeline”。
- 单击“立即使用”,进入流水线服务首页。
- 单击顶部导航“首页”,进入CodeArts首页。
- 单击项目名称,进入项目。
- 单击左侧导航“设置 > 通用设置”,进入“服务权限管理”页面。
流水线相关资源集中在流水线服务下,包括流水线、策略(项目级)、微服务、变更、环境、参数组。
默认情况下,有编辑或执行权限就有查看权限。
流水线权限
初始状态下,项目下各角色具有的流水线权限如下表所示:
表3 项目级流水线权限 角色
查看
创建
执行
修改
删除
分组
项目创建者
√
√
√
√
√
√
项目经理
√
√
√
√
√
√
开发人员
√
√
√
×
×
×
测试经理
√
×
×
×
×
×
测试人员
√
×
×
×
×
×
参与者
√
×
×
×
×
×
浏览者
√
×
×
×
×
×
产品经理
√
×
×
×
×
×
系统工程师
√
√
√
√
√
√
Committer
√
√
√
×
×
×
- 复制流水线需要同时具有创建流水线及修改源流水线的权限。
- 流水线的角色权限默认继承项目下各角色的流水线权限,并与项目下各角色的流水线权限保持联动,直到用户在流水线中修改了该流水线的角色权限为止。
- 流水线创建者默认拥有其创建的流水线的全部权限。
策略权限
初始状态下,项目下各角色具有的项目级策略权限如下表所示:表4 项目级策略权限 角色
查看
创建
修改
删除
项目创建者
√
√
√
√
项目经理
√
√
√
√
开发人员
√
√
√
√
测试经理
√
×
×
×
测试人员
√
×
×
×
参与者
√
×
×
×
浏览者
√
×
×
×
产品经理
√
×
×
×
系统工程师
√
√
√
√
Committer
√
√
√
√
复制策略需要同时具有创建策略及修改源策略的权限。
微服务权限
初始状态下,项目下各角色具有的微服务权限如下表所示:表5 项目级微服务权限 角色
查看
创建
修改
删除
项目创建者
√
√
√
√
项目经理
√
√
√
√
开发人员
√
×
×
×
测试经理
√
×
×
×
测试人员
√
×
×
×
参与者
√
×
×
×
浏览者
√
×
×
×
产品经理
√
×
×
×
系统工程师
√
√
√
√
Committer
√
×
×
×
变更权限
初始状态下,项目下各角色具有的变更权限如下表所示:表6 项目级变更权限 角色
查看
创建
修改
执行
项目创建者
√
√
√
√
项目经理
√
√
√
√
开发人员
√
√
√
√
测试经理
√
×
×
×
测试人员
√
×
×
×
参与者
√
×
×
×
浏览者
√
×
×
×
产品经理
√
×
×
×
系统工程师
√
√
√
√
Committer
√
√
√
√
环境权限
初始状态下,项目下各角色具有的发布管理不同环境权限如下表所示。
表7 项目级开发环境权限 角色
查看
创建
修改
删除
执行
回滚
项目创建者
√
√
√
√
√
√
项目经理
√
√
√
√
√
√
开发人员
√
√
√
√
√
√
测试经理
√
×
×
×
×
×
测试人员
√
×
×
×
×
×
参与者
√
×
×
×
×
×
浏览者
√
×
×
×
×
×
产品经理
√
√
√
√
√
√
系统工程师
√
√
√
√
√
√
Committer
√
√
√
√
√
√
表8 项目级测试环境权限 角色
查看
创建
修改
删除
执行
回滚
项目创建者
√
√
√
√
√
√
项目经理
√
√
√
√
√
√
开发人员
√
×
×
×
×
×
测试经理
√
√
√
√
√
√
测试人员
√
√
√
√
√
×
参与者
√
×
×
×
×
×
浏览者
√
×
×
×
×
×
产品经理
√
×
×
×
×
×
系统工程师
√
×
×
×
×
×
Committer
√
√
√
√
√
√
表9 项目级预发环境权限 角色
查看
创建
修改
删除
执行
回滚
项目创建者
√
√
√
√
√
√
项目经理
√
√
√
√
√
√
开发人员
√
×
×
×
×
×
测试经理
√
×
×
×
×
×
测试人员
√
×
×
×
×
×
参与者
×
×
×
×
×
×
浏览者
×
×
×
×
×
×
产品经理
√
×
×
×
×
×
系统工程师
√
×
×
×
×
×
Committer
√
√
√
√
√
√
表10 项目级生产环境权限 角色
查看
创建
修改
删除
执行
回滚
项目创建者
√
√
√
√
√
√
项目经理
√
√
√
√
√
√
开发人员
×
×
×
×
×
×
测试经理
×
×
×
×
×
×
测试人员
×
×
×
×
×
×
参与者
×
×
×
×
×
×
浏览者
×
×
×
×
×
×
产品经理
×
×
×
×
×
×
系统工程师
√
×
×
×
×
×
Committer
√
√
√
√
√
√
参数组权限
初始状态下,项目下各角色具有的参数组权限如下表所示:表11 项目级参数组权限 角色
创建
删除
修改
绑定
项目创建者
√
√
√
√
项目经理
√
√
√
√
开发人员
√
√
√
√
测试经理
×
×
×
×
测试人员
×
×
×
×
参与者
×
×
×
×
浏览者
×
×
×
×
产品经理
×
×
×
×
系统工程师
√
√
√
√
Committer
√
√
√
√
- 资源级权限
支持对单条流水线按照角色和人员两种维度进行权限配置,配置方法请参考配置流水线权限。
角色权限配置
- 项目创建者、流水线创建者和项目经理可以修改流水线的角色权限。
- 默认情况下,流水线的角色权限和项目下角色的流水线权限保持一致,且会在项目下角色的流水线权限变动时联动更新。
- 用户修改流水线的角色权限后,该流水线的角色权限将不再与项目下角色的流水线权限联动,且以流水线的角色权限为准,即流水线的角色权限优先级高于项目下角色的流水线权限。
人员权限配置
- 项目创建者、流水线创建者和项目经理可以修改流水线的人员权限。
- 默认情况下,流水线的人员权限和角色权限保持一致,且会在流水线下角色权限变动时联动更新。
- 用户修改流水线的人员权限后,该流水线的人员权限将不再与角色权限联动,且以流水线的人员权限为准,即流水线的人员权限优先级高于角色权限。