RBAC-Rollen und -Berechtigungen

Rollen

HASH (0x2c1a078) wird mit den folgenden sechs vordefinierten Rollen ausgeliefert:

  • Pool-Administrator (Pool-Admin) — der gleiche wie der lokale Stammordner. Kann alle Operationen ausführen.

    Hinweis:

    Der lokale Superuser (root) hat die Rolle „Pool Admin“. Die Pool-Administratorrolle verfügt über dieselben Berechtigungen wie der lokale Stamm.

  • Pool-Operator (Pool-Operator) — kann alles außer dem Hinzufügen/Entfernen von Benutzern und Ändern ihrer Rollen tun. Diese Rolle konzentriert sich hauptsächlich auf die Host- und Poolverwaltung (d. h. das Erstellen von Speicher, das Erstellen von Pools, das Verwalten der Hosts usw.).

  • Virtual Machine Power Administrator (VM Power Admin) — erstellt und verwaltet virtuelle Maschinen. Diese Rolle konzentriert sich auf die Bereitstellung von VMs für die Verwendung durch einen VM-Operator.

  • Virtual Machine Administrator (VM Admin) — ähnlich wie ein VM Power Admin, kann jedoch keine VMs migrieren oder Snapshots ausführen.

  • Virtual Machine Oper ator (VM Operator) — ähnlich wie VM Admin, aber keine VMs erstellen/zerstören können — kann jedoch Lebenszyklusvorgänge starten und stoppen.

  • Schreibgeschützt (schreibgeschützt ): Kann Ressourcenpools und Leistungsdaten anzeigen.

Warnung:

Wenn Active Directory-Gruppen zum Erteilen des Zugriffs für Pooladministrator-Benutzer verwendet werden, die Host-Ssh-Zugriff benötigen, darf die Anzahl der Benutzer in der Active Directory-Gruppe 500 nicht überschreiten.

Eine Zusammenfassung der für jede Rolle verfügbaren Berechtigungen und Informationen zu den für jede Berechtigung verfügbaren Vorgängen finden Sie unter Definitionen von RBAC-Rollen und -Berechtigungen im folgenden Abschnitt.

Wenn Sie einen Benutzer in HASH (0x2e68218) erstellen, müssen Sie dem neu erstellten Benutzer zunächst eine Rolle zuweisen, bevor er das Konto verwenden kann. HASH (0x2e68218) weist dem neu erstellten Benutzer nicht automatisch eine Rolle zu. Daher haben diese Konten keinen Zugriff auf den HASH (0x2e68218) Pool, bis Sie ihnen eine Rolle zuweisen.

  1. Ändern Sie den Betreff der Rollenzuordnung. Dies erfordert die Berechtigung zum Zuweisen/Ändern der Rolle, die nur einem Pooladministrator zur Verfügung steht.

  2. Ändern Sie die Gruppenmitgliedschaft des Benutzers in Active Directory.

Definitionen von RBAC-Rollen und Berechtigungen

In der folgenden Tabelle werden die Berechtigungen für die einzelnen Rollen zusammengefasst. Weitere Informationen zu den für jede Berechtigung verfügbaren Vorgängen finden Sie unter Definitionen von Berechtigungen.

Rollenberechtigungen Pool Admin Pool-Betreiber VM-Power Admin VM-Administrator VM-Betreiber Schreibgeschützt
Rollen zuweisen/ändern X          
Melden Sie sich bei (physischen) Serverkonsolen an (über SSH und HASH (0x2e6c8e8)) X          
Serversicherung/Wiederherstellung X          
Importieren/Exportieren von OVF/OVA -Paketen und Disk-Images X          
Kerne pro Sockel einstellen X X X X    
Konvertieren von virtuellen Maschinen mit HASH (0x2c1a078) Conversion Manager X          
Schalter-Port-Verriegelung X X        
Multipathing X X        
Aktive Benutzerverbindungen abmelden X X        
Erstellen und Schließen von Warnungen X X        
Aufgabe eines beliebigen Benutzers abbrechen X X        
Poolverwaltung X X        
Live-Migration X X X      
Massenspeicher-Live-Migration X X X      
Erweiterte VM-Vorgänge X X X      
VM erstellen/vernichten Operationen X X X X    
VM-Wechsel-CD-Medien X X X X X  
VM-Änderung des Stromzustands X X X X X  
VM-Konsolen anzeigen X X X X X  
HASH (0x2e6c8e8), Verwaltungsvorgänge anzeigen X X X X X  
Eigene Aufgaben abbrechen X X X X X X
Audit-Protokolle lesen X X X X X X
Verbindung zum Pool herstellen und alle Pool-Metadaten lesen X X X X X X
Konfigurieren der virtuellen GPU X X        
Virtuelle GPU-Konfiguration anzeigen X X X X X X
Zugriff auf das Konfigurationslaufwerk (nur CoreOS-VMs) X          
Containermanagement X          
Geplante Snapshots (VMs zu vorhandenen Snapshot-Zeitplänen hinzufügen/entfernen) X X X      
Geplante Snapshots (Snapshot-Zeitpläne hinzufügen/ändern/löschen) X X        
Integritätsprüfung konfigurieren X X        
Ergebnisse und Einstellungen der Integritätsprüfung anzeigen X X X X X X
Konfigurieren der geänderten Blockverfolgung X X X X    
Geänderte Blöcke auflisten X X X X X  
Konfigurieren von PVS-Beschleuniger X X        
PVS-Beschleuniger-Konfiguration anzeigen X X X X X X

Definitionen von Berechtigungen

Rollen zuweisen/ändern:

  • Benutzer hinzufügen/entfernen
  • Rollen hinzufügen/entfernen
  • Aktivieren und Deaktivieren der Active Directory-Integration (Mitglied der Domäne)

Diese Berechtigung ermöglicht es dem Benutzer, sich eine beliebige Berechtigung zu erteilen oder Aufgaben auszuführen.

Warnung: Mit dieser Rolle kann der Benutzer die Active Directory-Integration und alle aus Active Directory hinzugefügten Themen deaktivieren.

Melden Sie sich bei Serverkonsolen an:

  • Zugriff auf die Serverkonsole über ssh
  • Zugriff auf die Serverkonsole über HASH (0x2e6c8e8)

Warnung: Bei Zugriff auf eine Root Shell kann der Beauftragte das gesamte System, einschließlich RBAC, beliebig neu konfigurieren.

Serversicherung/Wiederherstellung der virtuellen Maschine zum Erstellen/Zerstören von Vorgängen:

  • Sichern und Wiederherstellen von Servern
  • Sichern und Wiederherstellen von Pool-Metadaten

Durch die Möglichkeit, eine Sicherung wiederherzustellen, kann der Beauftragte RBAC-Konfigurationsänderungen rückgängig machen.

Importieren/Exportieren von OVF/OVA -Paketen und Disk-Images:

  • Importieren von OVF- und OVA-Paketen
  • Importieren von Disk-Images
  • Exportieren von VMs als OVF/OVA -Pakete

Kerne pro Sockel einstellen:

  • Festlegen der Anzahl der Kerne pro Socket für die virtuellen CPUs der virtuellen Maschine

Mit dieser Berechtigung kann der Benutzer die Topologie für die virtuellen CPUs der VM angeben.

Konvertieren von VMs mit HASH (0x2c1a078) Conversion Manager:

  • VMware VMs in HASH (0x2c1a078) konvertieren

Diese Berechtigung ermöglicht es dem Benutzer, Arbeitslasten von VMware in HASH (0x2c1a078) zu konvertieren, indem Batches von VMware VMs in HASH (0x2c1a078) -Umgebung kopiert werden.

Schalter-Port-Verriegelung:

  • Steuern des Datenverkehrs in einem Netzwerk

Mit dieser Berechtigung kann der Benutzer standardmäßig den gesamten Datenverkehr in einem Netzwerk blockieren oder bestimmte IP-Adressen definieren, von denen eine VM Datenverkehr senden darf.

Multipathing:

  • Multipathing aktivieren
  • Multipathing deaktivieren

Aktive Benutzerverbindungen abmelden:

  • Möglichkeit, angemeldete Benutzer zu trennen

Erstellen/Verwerfen von Warnungen:

  • Konfigurieren Sie HASH (0x2e6c8e8), um Warnungen zu generieren, wenn die Ressourcenverwendung bestimmte Schwellenwerte überschreitet
  • Entfernen von Warnungen aus der Alerts-Ansicht

Warnung: Ein Benutzer mit dieser Berechtigung kann Warnungen für den gesamten Pool schließen.

Hinweis: Die Möglichkeit, Warnungen anzuzeigen, ist Teil der Berechtigung Mit Pool verbinden und alle Pool-Metadaten lesen.

Aufgabe eines beliebigen Benutzers abbrechen:

  • Abbrechen der ausgeführten Task eines Benutzers

Mit dieser Berechtigung kann der Benutzer HASH (0x2c1a078) eine laufende Aufgabe abbrechen, die von einem beliebigen Benutzer initiiert wurde.

Pool-Management:

  • Festlegen von Pooleigenschaften (Benennung, Standard-SRs)
  • Hochverfügbarkeit aktivieren, deaktivieren und konfigurieren
  • Festlegen der Hochverfügbarkeits-Neustartprioritäten pro VM
  • Konfigurieren der DR und Durchführung von DR-Failover-, Failback- und Test-Failovervorgängen
  • Aktivieren, Deaktivieren und Konfigurieren von Workload Balancing (WLB)
  • Server hinzufügen und aus dem Pool entfernen
  • Notfall Übergang zum Master
  • Notfall-Hauptadresse
  • Notfall-Slaves wiederherstellen
  • Neuen Master festlegen
  • Verwalten von Pool- und Serverzertifikaten
  • Flicken
  • Servereigenschaften festlegen
  • Konfigurieren der Serverprotokollierung
  • Aktivieren und Deaktivieren von Servern
  • Herunterfahren, Neustart und Einschalten von Servern
  • Toolstack neu starten
  • Systemstatusberichte
  • Lizenz anwenden
  • Livemigration aller anderen VMs auf einem Server zu einem anderen Server aufgrund des Wartungsmodus oder der hohen Verfügbarkeit
  • Konfigurieren der Serververwaltungsschnittstelle und sekundären Schnittstellen
  • Deaktivieren der Serververwaltung
  • Löschen von Absturzabbildern
  • Hinzufügen, Bearbeiten und Entfernen von Netzwerken
  • Hinzufügen, Bearbeiten und Entfernen von PBDs/PIFs/VLANs/Bonds/SRs
  • Hinzufügen, Entfernen und Abrufen von Geheimnissen

Diese Berechtigung umfasst alle Aktionen, die zum Verwalten eines Pools erforderlich sind.

Hinweis: Wenn die Verwaltungsschnittstelle nicht funktioniert, können keine Anmeldungen außer lokalen Root-Anmeldungen authentifiziert werden.

Live-Migration:

  • VMs von einem Host auf einen anderen Host migrieren, wenn sich die VMs auf Speicher befinden, der von beiden Hosts gemeinsam genutzt wird

Massenspeicher-Live-Migration:

  • Migrieren von einem Host auf einen anderen Host, wenn sich die VMs nicht im Speicher befinden, der zwischen den beiden Hosts gemeinsam genutzt wird
  • Verschieben von Virtual Disk (VDIs) von einer SR in eine andere SR

Erweiterte VM-Vorgänge:

  • Anpassen des VM-Speichers (über Dynamic Memory Control)
  • Erstellen eines virtuellen Snapshots mit Arbeitsspeicher, Erstellen von VM-Snapshots und Rollback-VMs
  • VMs migrieren
  • Starten von VMs, einschließlich Angabe des physischen Servers
  • VMs fortsetzen

Diese Berechtigung erteilt dem Bevollmächtigten genügend Berechtigungen, um eine VM auf einem anderen Server zu starten, wenn sie mit dem ausgewählten Server-HASH (0x2c1a078) nicht zufrieden sind.

VM erstellen/vernichten Operationen:

  • Installieren oder Löschen
  • VMs klonen/kopieren
  • Hinzufügen, Entfernen und Konfigurieren von virtuellen Festplatten/CD -Geräten
  • Hinzufügen, Entfernen und Konfigurieren von virtuellen Netzwerkgeräten
  • Importieren/Exportieren von XVA-Dateien
  • Änderung der VM-Konfiguration
  • Serversicherung/Wiederherstellung

Hinweis:

Die Rolle „VM-Administrator“ kann XVA-Dateien nur in einen Pool mit einem freigegebenen SR importieren. Die VM-Administratorrolle verfügt nicht über ausreichende Berechtigungen zum Importieren einer XVA-Datei in einen Host oder in einen Pool ohne gemeinsam genutzten Speicher.

VM-Änderungs-CD-Medien:

  • Aktuelle CD auswerfen
  • Neue CD einlegen

Importieren/Exportieren von OVF/OVA -Paketen; Importieren von Disk-Images

VM-Energiezustand ändern:

  • VMs starten (automatische Platzierung)
  • VMs herunterfahren
  • VMs neu starten
  • Anhalten von VMs
  • VMs fortsetzen (automatische Platzierung)

Diese Berechtigung enthält nicht start_on, resume_on und migrate, die Teil der Berechtigung für erweiterte VM sind.

VM-Konsolen anzeigen:

  • Anzeigen und Interagieren mit VM-Konsolen

Diese Berechtigung lässt den Benutzer keine Serverkonsolen anzeigen.

HASH (0x2e6c8e8) Anzeigen von Verwaltungsvorgängen:

  • Erstellen und Ändern von globalen HASH-Ordnern (0x2e6c8e8)
  • Erstellen und Ändern globaler HASH (0x2e6c8e8) benutzerdefinierter Felder
  • Erstellen und Ändern globaler HASH-Suchen (0x2e6c8e8)

Ordner, benutzerdefinierte Felder und Suchvorgänge werden von allen Benutzern freigegeben, die auf den Pool zugreifen

Eigene Aufgaben abbrechen:

  • Ermöglicht es einem Benutzer, seine eigenen Aufgaben abzubrechen

Auditprotokoll lesen:

  • Laden Sie das HASH (0x2c1a078) -Auditprotokoll herunter

Verbinden Sie sich mit Pool und lesen Sie alle Pool-Metadaten:

  • Loggen Sie sich in den Pool ein
  • Pool-Metadaten anzeigen
  • Anzeigen historischer Performance-Daten
  • Angemeldete Benutzer anzeigen
  • Anzeigen von Benutzern und Rollen
  • Nachrichten anzeigen
  • Registrieren Sie sich für Veranstaltungen und erhalten Sie

Konfigurieren der virtuellen GPU:

  • Angeben einer Pool-weiten Platzierungsrichtlinie
  • Zuweisen einer virtuellen GPU zu einer VM
  • Entfernen einer virtuellen GPU von einer VM
  • Ändern zulässiger virtueller GPU-Typen
  • Erstellen, Löschen oder Zuweisen einer GPU-Gruppe

Virtuelle GPU-Konfiguration anzeigen:

  • Anzeigen von GPUs, GPU-Platzierungsrichtlinien und virtuellen GPU-Zuweisungen

Zugriff auf das Konfigurationslaufwerk (nur CoreOS-VMs):

  • Zugriff auf den Konfigurationstreiber der VM
  • Ändern der cloud-config-Parameter

Containermanagement:

  • Starten
  • Stoppen
  • Pausieren
  • Wiederaufnehmen
  • Zugriff auf Informationen über den Container

Geplante Snapshots:

  • Hinzufügen von VMs zu vorhandenen Snapshot-Zeitplänen
  • Entfernen von VMs aus vorhandenen Snapshot-Zeitplänen
  • Snapshot-Zeitpläne hinzufügen
  • Snapshot-Zeitpläne ändern
  • Snapshot-Zeitpläne löschen

Integritätsprüfung konfigurieren:

  • Integritätsprüfung aktivieren
  • Integritätsprüfung deaktivieren
  • Einstellungen für die Zustandsprüfung aktualisieren
  • Manuelles Hochladen eines Serverstatusberichts

Ergebnisse und Einstellungen der Integritätsprüfung anzeigen:

  • Anzeigen der Ergebnisse eines Health Check Uploads
  • Registrierungseinstellungen für die Integritätsprüfung anzeigen

Konfigurieren der geänderten Blockverfolgung:

  • Geänderte Blockverfolgung aktivieren
  • Geänderte Blockverfolgung deaktivieren
  • Löschen der mit einem Snapshot verknüpften Daten und Beibehaltung der Metadaten
  • Abrufen der Verbindungsinformationen am NBD für einen VDI

Geänderte Blockverfolgung kann nur für lizenzierte Instanzen von HASH (0x2c1a078) HASH (0x2e72eb8) aktiviert werden.

Geänderte Blöcke auflisten:

  • Vergleichen Sie zwei VDI-Snapshots und listen Sie die Blöcke auf, die sich zwischen ihnen geändert haben

Konfigurieren Sie den PVS-Beschleuniger:

  • PVS-Beschleuniger aktivieren
  • PVS-Beschleuniger deaktivieren
  • Cache-Konfiguration (PVS-Accelerator) aktualisieren
  • Cache-Konfiguration (PVS-Accelerator) hinzufügen/entfernen

PVS-Beschleuniger-Konfiguration anzeigen:

  • Status von PVS-Beschleuniger anzeigen

Hinweis:

Manchmal kann ein schreibgeschützter Benutzer keine Ressource in einen Ordner in HASH (0x2e6c8e8) verschieben, selbst nachdem er eine Eingabeaufforderung zur Erhöhung erhalten und die Anmeldeinformationen eines privilegierten Benutzers angegeben hat. Melden Sie sich in diesem Fall bei HASH (0x2e6c8e8) als privilegierter Benutzer an, und wiederholen Sie die Aktion.

Wie berechnet HASH (0x2c1a078) die Rollen für die Sitzung?

  1. Der Betreff wird über den Active Directory-Server authentifiziert, um zu überprüfen, zu welchen Gruppen der Betreff auch gehören kann.

  2. HASH (0x2c1a078) überprüft dann, welche Rollen sowohl dem Betreff als auch den darin enthaltenen Gruppen zugewiesen wurden.

  3. Da Subjekte Mitglieder mehrerer Active Directory-Gruppen sein können, erben sie alle Berechtigungen der zugeordneten Rollen.

 In dieser Abbildung ist Betreff 2 (Gruppe 2) der Pool-Operator und Benutzer 1 Mitglied der Gruppe 2, wenn Betreff 3 (Benutzer 1) versucht, sich anzumelden, erben sie sowohl Betreff 3 (VM-Operator) als auch Gruppe 2 (Pool-Operator) Rollen. Da die Rolle Pooloperator höher ist, ist die resultierende Rolle für Betreff 3 (Benutzer 1) Pooloperator und nicht VM-Operator.