Типы ролей

HOSTVM имеет множество встроенных ролей. Они разделяются на два типа:

роль администратора позволяет получать доступ к порталу администрирования, управлять физическими и виртуальными ресурсами системы.
роль пользователя позволяет получать доступ к порталу ВМ и доступные пользователю сведения и действия на этом портале.

Существуют три базовые встроенные роли пользователя:

UserRole позволяет получать доступ к порталу ВМ и использовать назначенные ВМ;
PowerUserRole позволяет создавать ВМ и шаблоны. Например, пользователю с такой ролью для дата-центра, разрешено создавать в нем ВМ и шаблоны. Это позволяет снять часть задач с администратора системы;
UserVmManager позволяет пользователю управлять ВМ и создавать и использовать снапшоты. Когда пользователь создает ВМ через портал ВМ, он автоматически получает эту роль для созданной им ВМ.

Следующая таблица дает более подробное описание разрешений, получаемых пользователями с помощью базовых ролей:

Роль	Привилегии	Примечание
UserRole	Самая базовая роль. Дает доступ и возможность использования ВМ	Пользователь с этой ролью получает возможность входа в портал ВМ. Может использовать назначенные ВМ, видеть их статус и просматривать детальную информацию о них
PowerUserRole	Позволяет создавать и управлять ВМ и шаблонами	Пользователь с этой ролью, назначенной на уровне дата-центра, может создавать в нем ВМ и шаблоны
UserVmManager	Дает административные права на конкретную ВМ	Пользователь с этой ролью может управлять ВМ и использовать снапшоты. Когда пользователь создает машину на портале ВМ, он автоматически получает эту роль на ней

Роль

Привилегии

Примечание

UserRole

Самая базовая роль. Дает доступ и возможность использования ВМ

Пользователь с этой ролью получает возможность входа в портал ВМ. Может использовать назначенные ВМ, видеть их статус и просматривать детальную информацию о них

PowerUserRole

Позволяет создавать и управлять ВМ и шаблонами

Пользователь с этой ролью, назначенной на уровне дата-центра, может создавать в нем ВМ и шаблоны

UserVmManager

Дает административные права на конкретную ВМ

Пользователь с этой ролью может управлять ВМ и использовать снапшоты. Когда пользователь создает машину на портале ВМ, он автоматически получает эту роль на ней

Для более точного контроля разрешений имеются несколько расширенных ролей пользователя:

Роль	Привилегии	Примечание
UserTemplateBasedVm	Дает ограниченные привилегии только на использование шаблонов	Пользователь с этой ролью может создавать ВМ из шаблонов
DiskOperator	Дает привилегии на управление виртуальными дисками	Пользователь с этой ролью может использовать, просматривать и редактировать виртуальные диски
VmCreator	Дает возможность создавать ВМ через портал ВМ	Пользователь с этой ролью может может создавать ВМ через портал ВМ
TemplateCreator	Дает привилегии на создание, редактирование, управление и удаление шаблонов	Пользователь с этой ролью может может создавать, удалять и редактировать шаблоны
DiskCreator	Дает привилегии на создание, редактирование, управление и удаление виртуальных дисков	Пользователь с этой ролью может создавать, удалять, управлять и редактировать виртуальные диски в пределах назначенной части системы
TemplateOwner	Дает привилегии на редактирование и удаление шаблонов, в том числе выдача разрешений на шаблоны другим пользователям	Пользователь с этой ролью может редактировать и удалять шаблоны, в том числе выдавать разрешения на шаблоны другим пользователям. Автоматически назначается на пользователя, который создал шаблон
VnicProﬁleUser	Дает разрешения на подключение и отключение виртуальных сетевых интерфейсов	Пользователь с этой ролью может подключать и отключать виртуальные сетевые интерфейсы к логическим сетям

Роль

Привилегии

Примечание

UserTemplateBasedVm

Дает ограниченные привилегии только на использование шаблонов

Пользователь с этой ролью может создавать ВМ из шаблонов

DiskOperator

Дает привилегии на управление виртуальными дисками

Пользователь с этой ролью может использовать, просматривать и редактировать виртуальные диски

VmCreator

Дает возможность создавать ВМ через портал ВМ

Пользователь с этой ролью может может создавать ВМ через портал ВМ

TemplateCreator

Дает привилегии на создание, редактирование, управление и удаление шаблонов

Пользователь с этой ролью может может создавать, удалять и редактировать шаблоны

DiskCreator

Дает привилегии на создание, редактирование, управление и удаление виртуальных дисков

Пользователь с этой ролью может создавать, удалять, управлять и редактировать виртуальные диски в пределах назначенной части системы

TemplateOwner

Дает привилегии на редактирование и удаление шаблонов, в том числе выдача разрешений на шаблоны другим пользователям

Пользователь с этой ролью может редактировать и удалять шаблоны, в том числе выдавать разрешения на шаблоны другим пользователям. Автоматически назначается на пользователя, который создал шаблон

VnicProﬁleUser

Дает разрешения на подключение и отключение виртуальных сетевых интерфейсов

Пользователь с этой ролью может подключать и отключать виртуальные сетевые интерфейсы к логическим сетям

Существуют три базовые встроенные роли администратора: SuperUser, ClusterAdmin, и DataCenterAdmin.

SuperUser дает полные разрешения на все объекты среды виртуализации HOSTVM, эта роль назначена встроенному пользователю admin@internal;
ClusterAdmin дает пользователю права администратора на все ресурсы отдельного кластера;
DataCenterAdmin дает пользователю права администратора на все ресурсы отдельного дата-центра, кроме хранилища.

Следующая таблица дает более подробное описание разрешений, получаемых пользователями с помощью базовых ролей администратора:

Роль	Привилегии	Примечание
SuperUser	Системный администратор среды HOSTVM	Пользователь с данной ролью имеет полные права на всех уровнях и для всех объектов
ClusterAdmin	Администратора кластера	Пользователь с данной ролью обладает административными полномочиями для всех объектов в определенном кластере и может управлять всеми ресурсами этого кластера
DataCenterAdmin	Администратор дата-центра	Пользователь с данной ролью обладает административными полномочиями для всех объектов в определенном дата-центре, кроме хранилища

Роль

Привилегии

Примечание

SuperUser

Системный администратор среды HOSTVM

Пользователь с данной ролью имеет полные права на всех уровнях и для всех объектов

ClusterAdmin

Администратора кластера

Пользователь с данной ролью обладает административными полномочиями для всех объектов в определенном кластере и может управлять всеми ресурсами этого кластера

DataCenterAdmin

Администратор дата-центра

Пользователь с данной ролью обладает административными полномочиями для всех объектов в определенном дата-центре, кроме хранилища

Для более точного контроля разрешений имеются несколько расширенных ролей администратора:

Роль	Привилегии	Примечание
TemplateAdmin	Дает привилегии на создание, удаление и настройку шаблонов ВМ	Пользователь с данной ролью может создавать, удалять и настраивать домены хранения и сетевые параметры шаблонов
StorageAdmin	Дает привилегии на создание, удаление и управление доменами хранения	Пользователь с данной ролью может создавать, удалять, и управлять назначенными ему доменами хранения
HostAdmin	Дает привилегии на прикрепление, удаление и настройку хостов	Пользователь с данной ролью может выполнять операции по присоединению, удалению, настройке и управлению хостов
NetworkAdmin	Дает привилегии на настройку и управление сетями определенных дата-центров или кластеров	Пользователь с данной ролью может настраивать и управлять сетью конкретного дата-центра или кластера
GlusterAdmin	Дает привилегии на создание, удаление и управление томами хранения Gluster	Пользователь с этой ролью может создавать, удалять и управлять томами хранения Gluster
VmImporterExporter	Дает привилегии на импорт и экспорт ВМ	Пользователь с этой ролью может импортировать и экспортировать ВМ

Роль

Привилегии

Примечание

TemplateAdmin

Дает привилегии на создание, удаление и настройку шаблонов ВМ

Пользователь с данной ролью может создавать, удалять и настраивать домены хранения и сетевые параметры шаблонов

StorageAdmin

Дает привилегии на создание, удаление и управление доменами хранения

Пользователь с данной ролью может создавать, удалять, и управлять назначенными ему доменами хранения

HostAdmin

Дает привилегии на прикрепление, удаление и настройку хостов

Пользователь с данной ролью может выполнять операции по присоединению, удалению, настройке и управлению хостов

NetworkAdmin

Дает привилегии на настройку и управление сетями определенных дата-центров или кластеров

Пользователь с данной ролью может настраивать и управлять сетью конкретного дата-центра или кластера

GlusterAdmin

Дает привилегии на создание, удаление и управление томами хранения Gluster

Пользователь с этой ролью может создавать, удалять и управлять томами хранения Gluster

VmImporterExporter

Дает привилегии на импорт и экспорт ВМ

Пользователь с этой ролью может импортировать и экспортировать ВМ

Предыдущие таблицы демонстрируют, что существует множество предварительно настроенных ролей, из которых можно выбрать подходящую. Вы можете использовать эти роли для более точного управления доступом пользователей и делегирования административных полномочий. В частности, вместо того, чтобы повсеместно использовать встроенную учетную запись с правами суперпользователя, вы можете назначить роль SuperUser определенным пользователям, чтобы обеспечить надлежащее отслеживание активности и соблюдения требований. Назначьте менее комплексные роли соответствующим пользователям, чтобы упростить выполнение административных задач. Роли DataCenterAdmin, ClusterAdmin и PowerUserRole особенно полезны для этой цели.

Роли по умолчанию не могут быть изменены или удалены. Можно клонировать данные роли для внесения изменений или создавать полностью новые роли.

PreviousРазрешения и роли NextНазначение ролей пользователям

Last updated 1 year ago