Roles y permisos de RBAC

Roles

HASH (0x2c1a078) se envía con los siguientes seis roles preestablecidos:

  • Administrador de Pool (Administrador de Pool): el mismo que la raíz local. Puede realizar todas las operaciones.

    Nota:

    El superusuario local (root) tiene el rol de administrador de grupo. El rol Administrador del grupo tiene los mismos permisos que la raíz local.

  • Operador de Pool (Operador de Pool): puede hacer todo, aparte de agregar/quitar usuarios y cambiar sus roles. Esta función se centra principalmente en la administración del host y del pool (es decir, la creación de almacenamiento, la creación de pools, la administración de los hosts, etc.)

  • Virtual Machine Power Administrator (VM Power Admin): crea y administra Virtual Machines. Esta función se centra en el aprovisionamiento de máquinas virtuales para su uso por un operador de máquinas virtuales.

  • Virtual Machine Administrator (VM Admin): similar a un VM Power Admin, pero no puede migrar máquinas virtuales ni realizar instantáneas.

  • Operador demáquina virtual (Oper ador de máquina virtual), similar a VM Admin, pero no puede crear/destruir máquinas virtuales, pero puede realizar operaciones de inicio/detención del ciclo de vida.

  • Sólo lectura (sólo lectura): puede ver el fondo de recursos y los datos de rendimiento.

Advertencia:

cuando se utilizan grupos de Active Directory para conceder acceso a los usuarios del administrador del grupo que requieren acceso ssh de host, el número de usuarios del grupo de Active Directory no debe superar 500.

Para obtener un resumen de los permisos disponibles para cada rol e información sobre las operaciones disponibles para cada permiso, vea Definiciones de roles y permisos RBAC en la sección siguiente.

Cuando crea un usuario en HASH (0x2e68218), primero debe asignar un rol al usuario recién creado antes de que pueda usar la cuenta. HASH (0x2e68218) no asigna automáticamente un rol al usuario recién creado. Como resultado, estas cuentas no tienen ningún acceso al grupo HASH (0x2e68218) hasta que les asigne un rol.

  1. Modifique el asunto a la asignación de roles. Esto requiere el permiso de asignación/modificación de rol, sólo disponible para un administrador de grupo.

  2. Modifique la pertenencia al grupo que contiene el usuario en Active Directory.

Definiciones de roles y permisos RBAC

En la siguiente tabla se resumen los permisos disponibles para cada rol. Para obtener más información sobre las operaciones disponibles para cada permiso, consulte Definiciones de permisos.

Permisos de rol Administrador del grupo Operador de Pool Administrador de energía de VM Administrador de VM Operador de VM Solo lectura
Asignar/modificar funciones X          
Inicie sesión en las consolas de servidor (físicas) (a través de SSH y HASH (0x2e6c8e8)) X          
Copia de seguridad/restauración del servidor X          
Importar/exportar paquetes OVF/OVA e imágenes de disco X          
Establecer núcleos por socket X X X X    
Convierta máquinas virtuales con HASH (0x2c1a078) Conversion Manager X          
Bloqueo de puerto de conmutación X X        
Multirutas X X        
Cerrar sesión en las conexiones de usuario activas X X        
Crear y descartar alertas X X        
Cancelar tarea de cualquier usuario X X        
Administración de grupo X X        
Migración en vivo X X X      
Migración en vivo del almacenamiento X X X      
Operaciones avanzadas de VM X X X      
Operaciones de creación y destrucción de VM X X X X    
Cambio de medios de CD de VM X X X X X  
Cambiar el estado de alimentación de la máquina virtual X X X X X  
Ver consolas de VM X X X X X  
Operaciones de administración de vista HASH (0x2e6c8e8) X X X X X  
Cancelar tareas propias X X X X X X
Leer registros de auditoría X X X X X X
Conectarse al grupo y leer todos los metadatos del grupo X X X X X X
Configurar GPU virtual X X        
Ver configuración de GPU virtual X X X X X X
Acceder a la unidad de configuración (sólo máquinas virtuales CoreOS) X          
Gestión de contenedores X          
Instantáneas programadas (Agregar o quitar máquinas virtuales a programaciones de instantáneas existentes) X X X      
Instantáneas Programadas (Añadir/Modificar/Eliminar Programas de Instantáneas) X X        
Configurar comprobación de estado X X        
Ver los resultados y la configuración de la comprobación de estado X X X X X X
Configurar el seguimiento de bloques modificados X X X X    
Lista de bloques modificados X X X X X  
Configurar PVS-Accelerator X X        
Ver configuración del acelerador PVS X X X X X X

Definiciones de permisos

Asignar/modificar funciones:

  • Agregar/quitar usuarios
  • Agregar/quitar roles de los usuarios
  • Habilitar y deshabilitar la integración de Active Directory (uniéndose al dominio)

Este permiso permite al usuario concederse cualquier permiso o realizar cualquier tarea.

Advertencia: Esta función permite al usuario deshabilitar la integración de Active Directory y todos los temas agregados desde Active Directory.

Inicie sesión en las consolas del servidor:

  • Acceso a la consola del servidor a través de ssh
  • Acceso a la consola del servidor a través de HASH (0x2e6c8e8)

Advertencia: Con acceso a un shell raíz, el cesionario puede reconfigurar arbitrariamente todo el sistema, incluido RBAC.

Operaciones de creación y destrucción de máquinas virtuales de copia de seguridad/restauración del servidor:

  • Realizar copias de seguridad y restaurar servidores
  • Realizar copias de seguridad y restaurar los metadatos del grupo

La capacidad de restaurar una copia de seguridad permite al cesionario revertir los cambios de configuración de RBAC.

Importar/exportar paquetes OVF/OVA e imágenes de disco:

  • Importar paquetes OVF y OVA
  • Importar imágenes de disco
  • Exportar máquinas virtuales como paquetes OVF/OVA

Establecer núcleo por socket:

  • Establecer el número de núcleos por socket para las CPU virtuales de la VM

Este permiso permite al usuario especificar la topología de las CPU virtuales de la máquina virtual.

Convierta máquinas virtuales mediante HASH (0x2c1a078) Conversion Manager:

  • Convertir VM VMware a VM HASH (0x2c1a078)

Este permiso permite al usuario convertir cargas de trabajo de VMware a HASH (0x2c1a078) copiando lotes de VM VMware en el entorno HASH (0x2c1a078).

Bloqueo del puerto de conmutación:

  • Controlar el tráfico en una red

Este permiso permite al usuario bloquear todo el tráfico de una red de forma predeterminada o definir direcciones IP específicas desde las que una máquina virtual puede enviar tráfico.

Multirutas:

  • Habilitar multirutas
  • Deshabilitar multirutas

Cerrar sesión en las conexiones de usuario activas:

  • Posibilidad de desconectar a los usuarios que han iniciado sesión

Crear/descartar alertas:

  • Configurar HASH (0x2e6c8e8) para generar alertas cuando el uso de recursos cruza ciertos umbrales
  • Quitar alertas de la vista Alertas

Advertencia: un usuario con este permiso puede descartar alertas de todo el grupo.

Nota: La capacidad de ver alertas forma parte del permiso Conectar a Pool y leer todos los metadatos del pool.

Cancelar tarea de cualquier usuario:

  • Cancelar la tarea en ejecución de cualquier usuario

Este permiso permite al usuario solicitar HASH (0x2c1a078) cancelar una tarea en curso iniciada por cualquier usuario.

Gestión del grupo:

  • Establecer propiedades de grupo (nomenclatura, SRs predeterminados)
  • Habilitar, deshabilitar y configurar la alta disponibilidad
  • Establecer prioridades de reinicio de alta disponibilidad por VM
  • Configurar recuperación ante desastres y realizar operaciones de conmutación por error, recuperación y prueba de recuperación ante desastres
  • Habilitar, deshabilitar y configurar Equilibrio de carga de trabajo (WLB)
  • Agregar y quitar servidor del grupo
  • Transición de emergencia al maestro
  • Dirección maestra de emergencia
  • Esclavos de recuperación de emergencia
  • Designar nuevo maestro
  • Administrar certificados de grupo y servidor
  • Parcheando
  • Establecer las propiedades del servidor
  • Configurar el registro del servidor
  • Habilitar y deshabilitar servidores
  • Apagar, reiniciar y encender servidores
  • Reiniciar la pila de herramientas
  • Informes de estado del sistema
  • Aplicar licencia
  • Migración en vivo de todas las demás máquinas virtuales de un servidor a otro servidor, debido al modo de mantenimiento o a la alta disponibilidad
  • Configurar la interfaz de administración del servidor y las interfaces secundarias
  • Deshabilitar la administración del servidor
  • Eliminar los volcados de choque
  • Agregar, editar y quitar redes
  • Agregar, editar y eliminar PBDS/PIFS/VLANS/Bonds/SRS
  • Agregar, eliminar y recuperar secretos

Este permiso incluye todas las acciones necesarias para mantener un grupo.

Nota: Si la interfaz de administración no funciona, no se pueden autenticar inicios de sesión excepto los inicios de sesión raíz locales.

Migración en vivo:

  • Migrar máquinas virtuales de un host a otro host cuando las máquinas virtuales están en almacenamiento compartido por ambos hosts

Migración en vivo del almacenamiento:

  • Migrar de un host a otro host cuando las máquinas virtuales no están en almacenamiento compartido entre los dos hosts
  • Mover disco virtual (VDIS) de un SR a otro SR

Operaciones avanzadas de VM:

  • Ajustar la memoria de VM (a través del control de memoria dinámica)
  • Crear una instantánea de VM con memoria, tomar instantáneas de VM y deshacer máquinas virtuales
  • Migrar máquinas virtuales
  • Iniciar máquinas virtuales, incluida la especificación del servidor físico
  • Reanudar máquinas virtuales

Este permiso proporciona al cesionario suficientes privilegios para iniciar una máquina virtual en un servidor diferente si no está satisfecho con el servidor HASH (0x2c1a078) seleccionado.

Operaciones de creación/destrucción de VM:

  • Instalar o eliminar
  • Clona/copia de máquinas virtuales
  • Agregar, quitar y configurar dispositivos de disco virtual/CD
  • Agregar, quitar y configurar dispositivos de red virtual
  • Importar/exportar archivos XVA
  • Cambio de configuración de VM
  • Copia de seguridad/restauración del servidor

Nota:

El rol Administrador de VM sólo puede importar archivos XVA a un grupo con un SR compartido. La función Administrador de VM no tiene permisos suficientes para importar un archivo XVA en un host o en un grupo sin almacenamiento compartido.

Cambio de medios de CD de VM:

  • Expulsar el CD actual
  • Insertar nuevo CD

Importar/exportar paquetes OVF/OVA; importar imágenes de disco

Cambiar el estado de alimentación de la máquina virtual:

  • Iniciar máquinas virtuales (colocación automática)
  • Apagar máquinas virtuales
  • Reiniciar máquinas virtuales
  • Suspender VM
  • Reanudar máquinas virtuales (colocación automática)

Este permiso no incluye start_on, resume_on y migrate, que forman parte del permiso de operaciones avanzadas de VM.

Ver consolas de VM:

  • Ver e interactuar con las consolas de VM

Este permiso no permite que el usuario vea las consolas del servidor.

Operaciones de administración de vista HASH (0x2e6c8e8):

  • Crear y modificar carpetas HASH globales (0x2e6c8e8)
  • Crear y modificar campos personalizados HASH globales (0x2e6c8e8)
  • Crear y modificar búsquedas HASH globales (0x2e6c8e8)

Las carpetas, los campos personalizados y las búsquedas se comparten entre todos los usuarios que acceden al grupo

Cancelar tareas propias:

  • Permite a un usuario cancelar sus propias tareas

Leer el registro de auditoría:

  • Descargue el registro de auditoría HASH (0x2c1a078)

Conectarse al grupo y leer todos los metadatos del grupo:

  • Iniciar sesión en el grupo
  • Ver metadatos del grupo
  • Ver datos históricos de rendimiento
  • Ver usuarios conectados
  • Ver usuarios y roles
  • Ver mensajes
  • Regístrese y reciba eventos

Configurar GPU virtual:

  • Especificar una directiva de ubicación para todo el grupo
  • Asignar una GPU virtual a una máquina virtual
  • Quitar una GPU virtual de una máquina virtual
  • Modificar los tipos de GPU virtuales permitidos
  • Crear, destruir o asignar un grupo de GPU

Ver configuración de GPU virtual:

  • Ver GPU, directivas de ubicación de GPU y asignaciones de GPU virtuales

Acceda a la unidad de configuración (sólo máquinas virtuales CoreOS):

  • Acceder al controlador de configuración de la máquina virtual
  • Modificar los parámetros de configuración de nube

Gestión de contenedores:

  • Empezad
  • ¡Detente
  • Pausa
  • Reanudar
  • Acceder a la información sobre el contenedor

Instantáneas programadas:

  • Agregar máquinas virtuales a programaciones de instantáneas existentes
  • Quitar máquinas virtuales de las programaciones de instantáneas existentes
  • Agregar programaciones de instantáneas
  • Modificar programaciones de instantáneas
  • Eliminar programaciones de instantáneas

Configurar comprobación de estado:

  • Habilitar comprobación de estado
  • Deshabilitar comprobación de estado
  • Actualizar la configuración de comprobación de estado
  • Cargar manualmente un informe de estado del servidor

Ver los resultados y la configuración de la comprobación de estado:

  • Ver los resultados de una carga de comprobación de estado
  • Ver la configuración de inscripción de chequeo de estado

Configurar el seguimiento de bloques modificados:

  • Habilitar el seguimiento de bloques modificados
  • Deshabilitar el seguimiento de bloques modificados
  • Destruir los datos asociados a una instantánea y conservar los metadatos
  • Obtener la información de conexión NBD para un VDI

O rastreamento de blocos alterados pode ser habilitado apenas para instâncias licenciadas de HASH (0x2c1a078) HASH (0x2e72eb8).

Lista de bloques modificados:

  • Compare dos instantáneas de VDI e enumere los bloques que han cambiado entre ellas

Configurar PVS-Accelerator:

  • Activar PVS-Accelerator
  • Desactivar PVS-Accelerator
  • Configuración de la caché de actualización (PVS-Accelerator)
  • Configuración de la caché de Agregar/Quitar (PVS-Accelerator)

Ver configuración del acelerador PVS:

  • Ver el estado de PVS-Accelerator

Nota:

A veces, un usuario de sólo lectura no puede mover un recurso a una carpeta en HASH (0x2e6c8e8), incluso después de recibir un mensaje de elevación y proporcionar las credenciales de un usuario más privilegiado. En este caso, inicie sesión en HASH (0x2e6c8e8) como el usuario más privilegiado y vuelva a intentar la acción.

¿Cómo calcula HASH (0x2c1a078) los roles para la sesión?

  1. El asunto se autentica a través del servidor de Active Directory para comprobar a qué grupos contienen el asunto también puede pertenecer.

  2. HASH (0x2c1a078) comprueba entonces qué roles se han asignado tanto al asunto como a sus grupos que lo contienen.

  3. Como los sujetos pueden ser miembros de varios grupos de Active Directory, heredan todos los permisos de los roles asociados.

 En esta ilustración, como el asunto 2 (grupo 2) es el operador de grupo y el usuario 1 es miembro del grupo 2, cuando el sujeto 3 (usuario 1) intenta iniciar sesión, heredan las funciones del sujeto 3 (operador de VM) y del grupo 2 (operador de grupo). Como el rol Operador de Pool es mayor, el rol resultante para Subject 3 (Usuario 1) es Operador de Pool y no Operador de VM.