Типы ролей
HOSTVM имеет множество встроенных ролей. Они разделяются на два типа:
роль администратора позволяет получать доступ к порталу администрирования, управлять физическими и виртуальными ресурсами системы.
роль пользователя позволяет получать доступ к порталу ВМ и доступные пользователю сведения и действия на этом портале.
Существуют три базовые встроенные роли пользователя:
UserRole позволяет получать доступ к порталу ВМ и использовать назначенные ВМ;
PowerUserRole позволяет создавать ВМ и шаблоны. Например, пользователю с такой ролью для дата-центра, разрешено создавать в нем ВМ и шаблоны. Это позволяет снять часть задач с администратора системы;
UserVmManager позволяет пользователю управлять ВМ и создавать и использовать снапшоты. Когда пользователь создает ВМ через портал ВМ, он автоматически получает эту роль для созданной им ВМ.
Следующая таблица дает более подробное описание разрешений, получаемых пользователями с помощью базовых ролей:
| Роль | Привилегии | Примечание |
|---|---|---|
UserRole | Самая базовая роль. Дает доступ и возможность использования ВМ | Пользователь с этой ролью получает возможность входа в портал ВМ. Может использовать назначенные ВМ, видеть их статус и просматривать детальную информацию о них |
PowerUserRole | Позволяет создавать и управлять ВМ и шаблонами | Пользователь с этой ролью, назначенной на уровне дата-центра, может создавать в нем ВМ и шаблоны |
UserVmManager | Дает административные права на конкретную ВМ | Пользователь с этой ролью может управлять ВМ и использовать снапшоты. Когда пользователь создает машину на портале ВМ, он автоматически получает эту роль на ней |
Для более точного контроля разрешений имеются несколько расширенных ролей пользователя:
| Роль | Привилегии | Примечание |
|---|---|---|
UserTemplateBasedVm | Дает ограниченные привилегии только на использование шаблонов | Пользователь с этой ролью может создавать ВМ из шаблонов |
DiskOperator | Дает привилегии на управление виртуальными дисками | Пользователь с этой ролью может использовать, просматривать и редактировать виртуальные диски |
VmCreator | Дает возможность создавать ВМ через портал ВМ | Пользователь с этой ролью может может создавать ВМ через портал ВМ |
TemplateCreator | Дает привилегии на создание, редактирование, управление и удаление шаблонов | Пользователь с этой ролью может может создавать, удалять и редактировать шаблоны |
DiskCreator | Дает привилегии на создание, редактирование, управление и удаление виртуальных дисков | Пользователь с этой ролью может создавать, удалять, управлять и редактировать виртуальные диски в пределах назначенной части системы |
TemplateOwner | Дает привилегии на редактирование и удаление шаблонов, в том числе выдача разрешений на шаблоны другим пользователям | Пользователь с этой ролью может редактировать и удалять шаблоны, в том числе выдавать разрешения на шаблоны другим пользователям. Автоматически назначается на пользователя, который создал шаблон |
VnicProfileUser | Дает разрешения на подключение и отключение виртуальных сетевых интерфейсов | Пользователь с этой ролью может подключать и отключать виртуальные сетевые интерфейсы к логическим сетям |
Существуют три базовые встроенные роли администратора: SuperUser, ClusterAdmin, и DataCenterAdmin.
SuperUser дает полные разрешения на все объекты среды виртуализации HOSTVM, эта роль назначена встроенному пользователю admin@internal;
ClusterAdmin дает пользователю права администратора на все ресурсы отдельного кластера;
DataCenterAdmin дает пользователю права администратора на все ресурсы отдельного дата-центра, кроме хранилища.
Следующая таблица дает более подробное описание разрешений, получаемых пользователями с помощью базовых ролей администратора:
| Роль | Привилегии | Примечание |
|---|---|---|
SuperUser | Системный администратор среды HOSTVM | Пользователь с данной ролью имеет полные права на всех уровнях и для всех объектов |
ClusterAdmin | Администратора кластера | Пользователь с данной ролью обладает административными полномочиями для всех объектов в определенном кластере и может управлять всеми ресурсами этого кластера |
DataCenterAdmin | Администратор дата-центра | Пользователь с данной ролью обладает административными полномочиями для всех объектов в определенном дата-центре, кроме хранилища |
Для более точного контроля разрешений имеются несколько расширенных ролей администратора:
| Роль | Привилегии | Примечание |
|---|---|---|
TemplateAdmin | Дает привилегии на создание, удаление и настройку шаблонов ВМ | Пользователь с данной ролью может создавать, удалять и настраивать домены хранения и сетевые параметры шаблонов |
StorageAdmin | Дает привилегии на создание, удаление и управление доменами хранения | Пользователь с данной ролью может создавать, удалять, и управлять назначенными ему доменами хранения |
HostAdmin | Дает привилегии на прикрепление, удаление и настройку хостов | Пользователь с данной ролью может выполнять операции по присоединению, удалению, настройке и управлению хостов |
NetworkAdmin | Дает привилегии на настройку и управление сетями определенных дата-центров или кластеров | Пользователь с данной ролью может настраивать и управлять сетью конкретного дата-центра или кластера |
GlusterAdmin | Дает привилегии на создание, удаление и управление томами хранения Gluster | Пользователь с этой ролью может создавать, удалять и управлять томами хранения Gluster |
VmImporterExporter | Дает привилегии на импорт и экспорт ВМ | Пользователь с этой ролью может импортировать и экспортировать ВМ |
Предыдущие таблицы демонстрируют, что существует множество предварительно настроенных ролей, из которых можно выбрать подходящую. Вы можете использовать эти роли для более точного управления доступом пользователей и делегирования административных полномочий. В частности, вместо того, чтобы повсеместно использовать встроенную учетную запись с правами суперпользователя, вы можете назначить роль SuperUser определенным пользователям, чтобы обеспечить надлежащее отслеживание активности и соблюдения требований. Назначьте менее комплексные роли соответствующим пользователям, чтобы упростить выполнение административных задач. Роли DataCenterAdmin, ClusterAdmin и PowerUserRole особенно полезны для этой цели.
Роли по умолчанию не могут быть изменены или удалены. Можно клонировать данные роли для внесения изменений или создавать полностью новые роли.
Last updated