feat(dso-env): add additional roles to be defined

Signed-off-by: William Phetsinorath <william.phetsinorath@shikanime.studio>

Author: shikanime

charts/dso-env/Chart.yaml

@@ -2,7 +2,7 @@ apiVersion: v2
 name: dso-env
 description: Creates argocd Project and Applications to deploy DSO project repositories.
 type: application
-version: 1.6.0
+version: 1.7.0
 appVersion: 1.0.0
 maintainers:
   - name: this-is-tobi

charts/dso-env/README.md

@@ -6,28 +6,31 @@ Creates argocd Project and Applications to deploy DSO project repositories.
 
 ## Maintainers
 
-| Name | Email | Url |
-| ---- | ------ | --- |
+| Name         | Email                              | Url                        |
+| ------------ | ---------------------------------- | -------------------------- |
 | this-is-tobi | <thibault.colin@interieur.gouv.fr> | <https://this-is-tobi.com> |
 
 ## Values
 
-| Key | Type | Default | Description |
-|-----|------|---------|-------------|
-| application.autosync | bool | `true` | Activer la synchronisation automatique de l'application |
-| application.destination.name | string | `"dest"` | Nom du cluster applicatif cible |
-| application.destination.namespace | string | `"app1"` | Nom du namespace applicatif cible |
-| application.repositories | string | `nil` | Liste des dépôts à déployer |
-| application.sourceRepositories | list | `["https://gitlab.com/projects/org/demo"]` | Liste des dépôts à autoriser au niveau du AppProject |
-| argocd.namespace | string | `"argocd"` | Namespace de création des objets ArgoCD |
-| argocd.nsChartVersion | string | `"1.0.0"` | Version du Chart dso-ns à utiliser |
-| argocd.project | string | `"project1"` | Préfixe des projets ArgoCD à créer |
-| common | object | `{"dso/environment":"env","dso/organization":"org","dso/project":"project"}` | Informations communes, notamment appliquées en label sur les différents objets |
-| environment.roGroup | string | `"/project/environment/RO"` | Nom du groupe à autoriser en lecture seule sur les objets applicatifs (-app) déployés par ArgoCD |
-| environment.rwGroup | string | `"/project/environment/RW"` | Nom du groupe à autoriser en lecture/écriture sur les objets applicatifs (-app) déployés par ArgoCD |
-| environment.valueFilePath | string | `"values.yaml"` | Chemin du fichier à utiliser lors de la récupération des values |
-| environment.valueFileRepository | string | `"https://gitlab.com/projects/Infra/org/demo/infra.git"` | URL du repo avec le fichier values à utiliser pour cet environnement |
-| environment.valueFileRevision | string | `"HEAD"` | Revision Git à utiliser lors de la récupération des values |
-
-----------------------------------------------
+| Key                               | Type   | Default                                                                      | Description                                                                                         |
+| --------------------------------- | ------ | ---------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------- |
+| application.autosync              | bool   | `true`                                                                       | Activer la synchronisation automatique de l'application                                             |
+| application.destination.name      | string | `"dest"`                                                                     | Nom du cluster applicatif cible                                                                     |
+| application.destination.namespace | string | `"app1"`                                                                     | Nom du namespace applicatif cible                                                                   |
+| application.repositories          | string | `nil`                                                                        | Liste des dépôts à déployer                                                                         |
+| application.sourceRepositories    | list   | `["https://gitlab.com/projects/org/demo"]`                                   | Liste des dépôts à autoriser au niveau du AppProject                                                |
+| argocd.namespace                  | string | `"argocd"`                                                                   | Namespace de création des objets ArgoCD                                                             |
+| argocd.nsChartVersion             | string | `"1.0.0"`                                                                    | Version du Chart dso-ns à utiliser                                                                  |
+| argocd.project                    | string | `"project1"`                                                                 | Préfixe des projets ArgoCD à créer                                                                  |
+| common                            | object | `{"dso/environment":"env","dso/organization":"org","dso/project":"project"}` | Informations communes, notamment appliquées en label sur les différents objets                      |
+| environment.roGroup               | string | `"/project/environment/RO"`                                                  | Nom du groupe à autoriser en lecture seule sur les objets applicatifs (-app) déployés par ArgoCD    |
+| environment.rwGroup               | string | `"/project/environment/RW"`                                                  | Nom du groupe à autoriser en lecture/écriture sur les objets applicatifs (-app) déployés par ArgoCD |
+| environment.valueFilePath         | string | `"values.yaml"`                                                              | Chemin du fichier à utiliser lors de la récupération des values                                     |
+| environment.valueFileRepository   | string | `"https://gitlab.com/projects/Infra/org/demo/infra.git"`                     | URL du repo avec le fichier values à utiliser pour cet environnement                                |
+| environment.valueFileRevision     | string | `"HEAD"`                                                                     | Revision Git à utiliser lors de la récupération des values                                          |
+| features                          | object | `{"fineGrainedRoles":{"enabled":true}}`                                      | Set of feature settings - experimental                                                              |
+| features.fineGrainedRoles.enabled | bool   | `false`                                                                      | enable fine grained roles in the roles matrix                                                       |
+
+***
+
 Autogenerated from chart metadata using [helm-docs v1.14.2](https://github.com/norwoodj/helm-docs/releases/v1.14.2)

charts/dso-env/templates/project-app.yaml

@@ -37,7 +37,83 @@ spec:
       allow
     - p, proj:{{ .Values.argocd.project }}-app:rw-group, applications, create, {{ .Values.argocd.project }}-app/*,
       deny
-  sourceRepos: 
+  {{- if .Values.features.fineGrainedRoles.enabled }}
+  - description: platform admin group
+    groups:
+    - {{ .Values.environment.consoleAdminGroup }}
+    - {{ .Values.environment.platformAdminGroup }}
+    name: platform-admin
+    policies:
+    - p, proj:{{ .Values.argocd.project }}-app:platform-admin, *, *, {{ .Values.argocd.project }}-app/*, allow
+  - description: platform security group
+    groups:
+    - {{ .Values.environment.platformSecurityGroup }}
+    name: platform-security
+    policies:
+    - p, proj:{{ .Values.argocd.project }}-app:platform-security, applications, get, {{ .Values.argocd.project }}-app/*, allow
+    - p, proj:{{ .Values.argocd.project }}-app:platform-security, projects, get, {{ .Values.argocd.project }}-app, allow
+    - p, proj:{{ .Values.argocd.project }}-app:platform-security, repositories, get, *, allow
+    - p, proj:{{ .Values.argocd.project }}-app:platform-security, clusters, get, *, allow
+    - p, proj:{{ .Values.argocd.project }}-app:platform-security, accounts, get, *, allow
+  - description: platform readonly group
+    groups:
+    - {{ .Values.environment.platformReadonlyGroup }}
+    name: platform-readonly
+    policies:
+    - p, proj:{{ .Values.argocd.project }}-app:platform-readonly, applications, get, {{ .Values.argocd.project }}-app/*, allow
+    - p, proj:{{ .Values.argocd.project }}-app:platform-readonly, projects, get, {{ .Values.argocd.project }}-app, allow
+    - p, proj:{{ .Values.argocd.project }}-app:platform-readonly, repositories, get, *, allow
+    - p, proj:{{ .Values.argocd.project }}-app:platform-readonly, clusters, get, *, allow
+  - description: project admin group
+    groups:
+    - {{ .Values.environment.projectAdminGroup }}
+    name: project-admin
+    policies:
+    - p, proj:{{ .Values.argocd.project }}-app:project-admin, applications, get, {{ .Values.argocd.project }}-app/*, allow
+    - p, proj:{{ .Values.argocd.project }}-app:project-admin, applications, sync, {{ .Values.argocd.project }}-app/*, allow
+    - p, proj:{{ .Values.argocd.project }}-app:project-admin, applications, update, {{ .Values.argocd.project }}-app/*, allow
+    - p, proj:{{ .Values.argocd.project }}-app:project-admin, applications, delete, {{ .Values.argocd.project }}-app/*, allow
+    - p, proj:{{ .Values.argocd.project }}-app:project-admin, projects, get, {{ .Values.argocd.project }}-app, allow
+    - p, proj:{{ .Values.argocd.project }}-app:project-admin, projects, update, {{ .Values.argocd.project }}-app, allow
+    - p, proj:{{ .Values.argocd.project }}-app:project-admin, repositories, get, *, allow
+    - p, proj:{{ .Values.argocd.project }}-app:project-admin, clusters, get, *, allow
+  - description: project devops group
+    groups:
+    - {{ .Values.environment.projectDevopsGroup }}
+    name: project-devops
+    policies:
+    - p, proj:{{ .Values.argocd.project }}-app:project-devops, applications, get, {{ .Values.argocd.project }}-app/*, allow
+    - p, proj:{{ .Values.argocd.project }}-app:project-devops, applications, sync, {{ .Values.argocd.project }}-app/*, allow
+    - p, proj:{{ .Values.argocd.project }}-app:project-devops, applications, update, {{ .Values.argocd.project }}-app/*, allow
+    - p, proj:{{ .Values.argocd.project }}-app:project-devops, projects, get, {{ .Values.argocd.project }}-app, allow
+    - p, proj:{{ .Values.argocd.project }}-app:project-devops, repositories, get, *, allow
+    - p, proj:{{ .Values.argocd.project }}-app:project-devops, clusters, get, *, allow
+  - description: project developer group
+    groups:
+    - {{ .Values.environment.projectDevelopperGroup }}
+    name: project-developer
+    policies:
+    - p, proj:{{ .Values.argocd.project }}-app:project-developer, applications, get, {{ .Values.argocd.project }}-app/*, allow
+    - p, proj:{{ .Values.argocd.project }}-app:project-developer, applications, sync, {{ .Values.argocd.project }}-app/*, allow
+    - p, proj:{{ .Values.argocd.project }}-app:project-developer, projects, get, {{ .Values.argocd.project }}-app, allow
+  - description: project security group
+    groups:
+    - {{ .Values.environment.projectSecurityGroup }}
+    name: project-security
+    policies:
+    - p, proj:{{ .Values.argocd.project }}-app:project-security, applications, get, {{ .Values.argocd.project }}-app/*, allow
+    - p, proj:{{ .Values.argocd.project }}-app:project-security, projects, get, {{ .Values.argocd.project }}-app, allow
+    - p, proj:{{ .Values.argocd.project }}-app:project-security, repositories, get, *, allow
+    - p, proj:{{ .Values.argocd.project }}-app:project-security, clusters, get, *, allow
+  - description: project readonly group
+    groups:
+    - {{ .Values.environment.projectReadonlyGroup }}
+    name: project-readonly
+    policies:
+    - p, proj:{{ .Values.argocd.project }}-app:project-readonly, applications, get, {{ .Values.argocd.project }}-app/*, allow
+    - p, proj:{{ .Values.argocd.project }}-app:project-readonly, projects, get, {{ .Values.argocd.project }}-app, allow
+  {{- end }}
+  sourceRepos:
   {{- range .Values.application.sourceRepositories }}
     - {{ . }}
   {{- end }}

charts/dso-env/values.yaml

@@ -21,6 +21,24 @@ environment:
   roGroup: /project/environment/RO
   # -- Nom du groupe à autoriser en lecture/écriture sur les objets applicatifs (-app) déployés par ArgoCD
   rwGroup: /project/environment/RW
+  # -- Nom du groupe d'administration de la plateforme
+  platformAdminGroup: /console/admin
+  # -- Nom du groupe d'administration globale (Console)
+  consoleAdminGroup: /console-admin
+  # -- Nom du groupe de lecture seule de la plateforme
+  platformReadonlyGroup: /console/readonly
+  # -- Nom du groupe de sécurité de la plateforme
+  platformSecurityGroup: /console/security
+  # -- Nom du groupe d'administration du projet
+  projectAdminGroup: /project1/console/admin
+  # -- Nom du groupe DevOps du projet
+  projectDevopsGroup: /project1/console/devops
+  # -- Nom du groupe Développeur du projet
+  projectDevelopperGroup: /project1/console/developer
+  # -- Nom du groupe de sécurité du projet
+  projectSecurityGroup: /project1/console/security
+  # -- Nom du groupe de lecture seule du projet
+  projectReadonlyGroup: /project1/console/readonly
 application:
   # -- Liste des dépôts à autoriser au niveau du AppProject
   sourceRepositories:
@@ -49,3 +67,9 @@ application:
   #   valueFiles:
   #     - values.yaml
   #     - values-integ.yaml
+# -- Set of feature settings - experimental
+features:
+  # -- Fine grained roles support
+  fineGrainedRoles:
+    # -- enabling fine grained roles
+    enabled: false