Контроль доступа пользователей к ВМ
HOSTVM использует роли и разрешения для предоставления или запрета доступа пользователей к ресурсам. Это позволяет администратору тонко настраивать контроль доступа. Существует три основные роли для пользователей:
UserRole – пользователь с данной ролью может подключаться к ВМ и использовать их через VM портал. Эта роль позволяет запускать, останавливать и ставить на паузу ВМ, но не позволяет изменять их конфигурацию, а также получать доступ к консоли существующих ВМ через веб-интерфейс;
PowerUserRole – пользователь с данной ролью может создавать ВМ и просматривать виртуальные ресурсы. Эта роль подходит для пользователей, которые могут создавать собственные ВМ и работать с ними, но которым не нужен доступ к ВМ, находящимися под управлением других пользователей;
UserVmManager – пользователь с данной ролью может изменять параметры ВМ или удалять ее, назначать разрешения пользователям, использовать снапшоты и шаблоны. Эта роль подходит для администратора ВМ. Данная роль автоматически присваивается новой ВМ для пользователя, который ее создал. Роль UserVmManager интересна тем, что ее можно установить на одной ВМ, чтобы дать пользователю административный контроль только над этой ВМ. Эта роль также может быть установлена для кластера, чтобы дать пользователю возможность управлять всеми ВМ этого кластера. Следует обратить внимание, что эта роль имеет ограниченное разрешение на внесение инфраструктурных изменений в кластер (в отличие от ClusterAdmin).
Если вашему пользователю присвоена роль UserRole на ВМ, то вы сможете увидеть ВМ на VM портале и сможете запускать или останавливать эту машину. Вы не сможете создавать новые ВМ, редактировать или удалять существующие.
Если на ВМ вам присвоена роль UserVmManager, то вы имеете полный контроль над этой ВМ на VM портале, можете редактировать ее конфигурацию или даже удалять ее.
Если из ролей вам присвоена только PowerUserRole, вы можете создавать машины на VM портале, а также сможете увидеть свои собственные ВМ, поскольку вам автоматически будет присвоена роль UserVmManager для созданных вами машин. Вам недоступен просмотр ВМ, которые были созданы другими пользователями, если вам не присвоена роль минимум уровня UserRole. Если администратор удалит вашу роль UserVmManager на созданных вами ВМах, и вам не будет присвоена UserRole для этих ВМ, а только PowerUserRole, то вы больше не сможете увидеть их на VM портале.
Расширенные роли пользователей дают дополнительный контроль над управлением ВМ. Например, роль UserTemplateBasedVm для кластера позволяет пользователю создавать ВМ из шаблонов в этом кластере. Все три базовые роли администратора SuperUser, ClusterAdmin и DataCenterAdmin дают полный доступ над ВМ для всей системы, кластера или дата-центра соответственно.
Чтобы добавить роль отдельному пользователю на конкретную ВМ:
Перейдите на вкладку Compute > Virtual Machines и нажмите на ссылку в имени нужной ВМ, чтобы открыть ее свойства;
Перейдите на вкладку Permissions;
Нажмите кнопку Add чтобы добавить пользователя с соответствующей ролью;
Выберите домена для поиска пользователей и нажмите Go;
В списке отметьте флажком пользователя, которому вы хотите назначить разрешения;
В нижней части окна выберите нужную роль для этого пользователя из выпадающего списка;
Нажмите ОК для подтверждения.
Имя и роль пользователя отображаются в списке пользователей, которым назначены права на доступ к этой ВМ. Эту процедуру можно использовать для добавления разрешений к любому типу доступных ресурсов в среде HOSTVM. Чтобы отозвать роли пользователя для ВМ, выполните следующую процедуру:
Перейдите на вкладку Compute > Virtual Machines и нажмите на ссылку в имени нужной ВМ, чтобы открыть ее свойства;
Перейдите на вкладку Permissions;
Выберите нужного пользователя и роль из списка разрешений и щелкните кнопку Remove;
Нажмите ОК для подтверждения.
Невозможно удаление любых ролей и разрешений на ресурс, если они унаследованы от объекта более высокого уровня. Например, если пользователю присвоена роль ClusterAdmin на кластере, содержащем ВМ, вы не можете удалить унаследованную роль ClusterAdmin для этого пользователя только с одной ВМ. Вы должны удалить роль для этого пользователя из кластера.
Last updated