RBAC roles y permisos

Roles

Citrix Hypervisor se suministra con los siguientes seis roles preestablecidos:

  • Administrador de Pool (Administrador de Pool): lo mismo que la raíz local. Puede realizar todas las operaciones.

    Nota:

    El superusuario local (root) tiene el rol «Administrador de grupo». La función Administrador de grupo tiene los mismos permisos que la raíz local.

  • Operador de Pool (Operador de Pool): puede hacer todo aparte de agregar/eliminar usuarios y cambiar sus roles. Este rol se centra principalmente en la administración de hosts y grupos (es decir, la creación de almacenamiento, la creación de grupos, la administración de los hosts, etc.).

  • Virtual Machine Power Administrator (VM Power Admin): crea y administra máquinas virtuales. Esta función se centra en el aprovisionamiento de máquinas virtuales para su uso por un operador de VM.

  • Administrador de máquinas virtuales (VM Admin): similar a un Power Admin de VM, pero no puede migrar máquinas virtuales ni realizar instantáneas.

  • Operador demáquina virtual (Operador de máquina virtual), similar a VM Admin, pero no puede crear/destruir máquinas virtuales, pero puede realizar operaciones de ciclo de vida de iniciar/detener.

  • Sólo lectura (sólo lectura): puede ver el fondo de recursos y los datos de rendimiento.

Advertencia:

cuando se utilizan grupos de Active Directory para conceder acceso a los usuarios del administrador de grupos que requieren acceso ssh del host, el número de usuarios del grupo de Active Directory no debe superar los 500.

Para obtener un resumen de los permisos disponibles para cada rol y para obtener información sobre las operaciones disponibles para cada permiso, vea Definiciones de roles y permisos RBAC en la sección siguiente.

Cuando crea un usuario en Citrix Hypervisor, primero debe asignar un rol al usuario recién creado antes de que pueda usar la cuenta. Citrix Hypervisor no asigna automáticamente un rol al usuario recién creado. Como resultado, estas cuentas no tienen acceso al grupo de Citrix Hypervisor hasta que se les asigne un rol.

  1. Modifique el asunto a la asignación de roles. Esto requiere el permiso de asignación o modificación de rol, sólo disponible para un administrador de grupo.

  2. Modifique la pertenencia al grupo que contiene el usuario en Active Directory.

Definiciones de roles y permisos RBAC

En la tabla siguiente se resumen los permisos disponibles para cada rol. Para obtener información detallada sobre las operaciones disponibles para cada permiso, vea Definiciones de permisos.

Permisos de rol Administrador del grupo Operador de piscina Administrador de energía de VM Administrador de VM Operador de VM Solo lectura
Asignar/modificar roles X          
Inicie sesión en las consolas del servidor (físicas) (a través de SSH y XenCenter) X          
Copia de seguridad y restauración de servidores X          
Importar/exportar paquetes de PARTIALURLPLACEHOLDER e imágenes de disco X          
Establecer núcleos por socket X X X X    
Convertir máquinas virtuales con Citrix Hypervisor Conversion Manager X          
Bloqueo del puerto de conmutación X X        
Multipathing X X        
Cerrar sesión en las conexiones de usuario activas X X        
Crear y descartar alertas X X        
Cancelar tarea de cualquier usuario X X        
Administración de grupo X X        
Migración en vivo X X X      
Migración en vivo del almacenamiento X X X      
Operaciones avanzadas de VM X X X      
Operaciones de creación y destrucción de VM X X X X    
Medios de CD de cambio de VM X X X X X  
VM cambia el estado de energía X X X X X  
Ver consolas de VM X X X X X  
Operaciones de administración de vistas de XenCenter X X X X X  
Cancelar tareas propias X X X X X X
Leer registros de auditoría X X X X X X
Conectarse al grupo y leer todos los metadatos del grupo X X X X X X
Configurar GPU virtual X X        
Ver la configuración de GPU virtual X X X X X X
Acceder a la unidad de configuración (solo máquinas virtuales CoreOS) X          
Gestión de contenedores X          
Instantáneas programadas (Agregar o quitar máquinas virtuales a las programaciones de instantáneas existentes) X X X      
Instantáneas Programadas (Agregar/Modificar/Eliminar Programaciones de Instantáneas) X X        
Configurar comprobación de estado X X        
Ver los resultados y la configuración de la comprobación de estado X X X X X X
Configurar el seguimiento de bloques modificado X X X X    
Lista de bloques modificados X X X X X  
Configurar PVS-Accelerator X X        
Ver la configuración del acelerador de PVS- X X X X X X

Definiciones de permisos

Asignar/modificar roles:

  • Agregar o quitar usuarios
  • Añadir/quitar roles de los usuarios
  • Habilitar y deshabilitar la integración de Active Directory (unirse al dominio)

Este permiso permite al usuario concederse cualquier permiso o realizar cualquier tarea.

Advertencia: este rol permite al usuario deshabilitar la integración de Active Directory y todos los temas agregados desde Active Directory.

Inicie sesión en las consolas del servidor:

  • Acceso a la consola del servidor a través de ssh
  • Acceso a la consola del servidor a través de XenCenter

Advertencia: Con acceso a un shell raíz, el cesionario puede reconfigurar arbitrariamente todo el sistema, incluido RBAC.

Operaciones de creación y destrucción de máquinas virtuales de copia de seguridad/restauración de servidores:

  • Realizar copias de seguridad y restaurar servidores
  • Copia de seguridad y restauración de metadatos del grupo

La capacidad de restaurar una copia de seguridad permite al asignado revertir los cambios de configuración RBAC.

Importar/exportar paquetes OVF/OVA e imágenes de disco:

  • Importar paquetes OVF y OVA
  • Importar imágenes de disco
  • Exportar máquinas virtuales como paquetes OVF/OVA

Establecer los códigos-por socket:

  • Establecer el número de núcleos por socket para las CPU virtuales de la VM

Este permiso permite al usuario especificar la topología para las CPU virtuales de la máquina virtual.

Convierta máquinas virtuales con Citrix Hypervisor Conversion Manager:

  • Convertir máquinas virtuales VMware en máquinas virtuales Citrix Hypervisor

Este permiso permite al usuario convertir cargas de trabajo de VMware a Citrix Hypervisor copiando lotes de máquinas virtuales VMware al entorno Citrix Hypervisor.

Bloqueo del puerto del conmutador:

  • Controlar el tráfico en una red

Este permiso permite al usuario bloquear todo el tráfico de una red de forma predeterminada o definir direcciones IP específicas desde las que una máquina virtual puede enviar tráfico.

Multipathing:

  • Habilitar multirutas
  • Deshabilitar rutas múltiples

Cerrar sesión en las conexiones de usuario activas:

  • Posibilidad de desconectar a los usuarios que han iniciado sesión

Crear/descartar alertas:

  • Configurar XenCenter para generar alertas cuando el uso de recursos supere determinados umbrales
  • Eliminar alertas de la vista Alertas

Advertencia: un usuario con este permiso puede descartar las alertas de todo el grupo.

Nota: La capacidad de ver alertas forma parte del permiso Conectar al grupo y leer todos los metadatos del grupo.

Cancelar tarea de cualquier usuario:

  • Cancelar la tarea en ejecución de cualquier usuario

Este permiso permite al usuario solicitar que Citrix Hypervisor cancele una tarea en curso iniciada por cualquier usuario.

Gestión de piscinas:

  • Establecer las propiedades del grupo (nombre, SRs predeterminados)
  • Crear un grupo agrupado
  • Habilitar, deshabilitar y configurar alta disponibilidad
  • Establecer prioridades de reinicio de alta disponibilidad por VM
  • Configure DR y realice operaciones de failover, failback y failover de DR.
  • Habilitar, deshabilitar y configurar Equilibrio de carga de trabajo (WLB)
  • Agregar y quitar servidor del grupo
  • Transición de emergencia al maestro
  • Dirección maestra de emergencia
  • Esclavos de recuperación de emergencia
  • Designar nuevo maestro
  • Administrar certificados de grupo y servidor
  • Parcheando
  • Establecer propiedades del servidor
  • Configurar el registro del servidor
  • Habilitar y deshabilitar servidores
  • Apagar, reiniciar y encender servidores
  • Reiniciar la pila de herramientas
  • Informes de estado del sistema
  • Solicitar licencia
  • Migración en vivo de todas las demás máquinas virtuales de un servidor a otro servidor, debido al modo de mantenimiento o a la alta disponibilidad
  • Configurar la interfaz de administración del servidor y las interfaces secundarias
  • Deshabilitar la administración de servidores
  • Eliminar los vertederos de descarga
  • Agregar, editar y quitar redes
  • Agregar, editar y eliminar PBDS/PIFS/VLANS/Bonds/SRS
  • Agregar, quitar y recuperar secretos

Este permiso incluye todas las acciones necesarias para mantener un grupo.

Nota: Si la interfaz de administración no funciona, no se puede autenticar ningún inicio de sesión excepto los inicios de sesión raíz locales.

Migración en vivo:

  • Migrar máquinas virtuales de un host a otro host cuando las máquinas virtuales están en almacenamiento compartido por ambos hosts

Migración en vivo del almacenamiento:

  • Migrar de un host a otro host cuando las VM no están en almacenamiento compartido entre los dos hosts
  • Mover disco virtual (VDI) de un SR a otro SR

Operaciones avanzadas de VM:

  • Ajuste de la memoria de VM (mediante el control de memoria dinámica)
  • Crear una instantánea de VM con memoria, tomar instantáneas de VM y deshacer VM
  • Migrar máquinas virtuales
  • Iniciar máquinas virtuales, incluida la especificación del servidor físico
  • Reanudar máquinas virtuales

Este permiso proporciona al usuario asignado privilegios suficientes para iniciar una máquina virtual en un servidor diferente si no está satisfecho con el servidor Citrix Hypervisor seleccionado.

Operaciones de creación/destrucción de VM:

  • Instalar o eliminar
  • Clonar/copiar VM
  • Agregar, quitar y configurar dispositivos de disco virtual/CD
  • Agregar, quitar y configurar dispositivos de red virtual
  • Importar/exportar archivos XVA
  • Cambio de configuración de VM
  • Copia de seguridad y restauración de servidores

Nota:

La función de administrador de VM sólo puede importar archivos XVA en un grupo con una SR compartida. La función de administrador de VM no tiene permisos suficientes para importar un archivo XVA en un host o en un grupo sin almacenamiento compartido.

Medios de CD de cambio de VM:

  • Expulsar el CD actual
  • Insertar nuevo CD

Importar/exportar paquetes de PARTIALURLPLACEHOLDER; importar imágenes de disco

Cambio de estado de energía de VM:

  • Iniciar VM (colocación automática)
  • Apagar máquinas virtuales
  • Reiniciar máquinas virtuales
  • Suspender VM
  • Reanudar máquinas virtuales (colocación automática)

Este permiso no incluye start_on, resume_on y migrate, que forman parte del permiso de operaciones avanzadas de VM.

Ver consolas de VM:

  • Ver e interactuar con consolas de VM

Este permiso no permite que el usuario vea las consolas del servidor.

Operaciones de administración de vistas de XenCenter:

  • Crear y modificar carpetas globales de XenCenter
  • Crear y modificar campos personalizados globales de XenCenter
  • Crear y modificar búsquedas globales de XenCenter

Las carpetas, los campos personalizados y las búsquedas se comparten entre todos los usuarios que acceden al grupo

Cancelar tareas propias:

  • Permite a un usuario cancelar sus propias tareas

Leer el registro de auditoría:

  • Descargue el registro de auditoría de Citrix Hypervisor

Conéctese al grupo y lea todos los metadatos del grupo:

  • Iniciar sesión en el grupo
  • Metadatos de grupo de visualización
  • Ver datos históricos de rendimiento
  • Ver usuarios que han iniciado sesión
  • Ver usuarios y roles
  • Ver mensajes
  • Regístrese y reciba eventos

Configurar GPU virtual:

  • Especificar una directiva de ubicación para todo el grupo
  • Asignar una GPU virtual a una VM
  • Quitar una GPU virtual de una VM
  • Modificar tipos de GPU virtuales permitidos
  • Crear, destruir o asignar un grupo de GPU

Ver la configuración de GPU virtual:

  • Ver GPU, directivas de ubicación de GPU y asignaciones de GPU virtuales

Acceda a la unidad de configuración (solo máquinas virtuales CoreOS):

  • Acceder al controlador de configuración de la VM
  • Modificar los parámetros cloud-config

Gestión de contenedores:

  • Empiecen
  • ¡Detente
  • Pausa
  • Reanudar
  • Acceder a la información sobre el contenedor

Instantáneas programadas:

  • Agregar máquinas virtuales a las programaciones de instantáneas existentes
  • Eliminar máquinas virtuales de las programaciones de instantáneas existentes
  • Agregar programaciones de instantáneas
  • Modificar programaciones de instantáneas
  • Eliminar programaciones de instantáneas

Configurar comprobación de estado:

  • Habilitar comprobación de estado
  • Deshabilitar comprobación de estado
  • Actualizar configuración de comprobación de estado
  • Cargar manualmente un informe de estado del servidor

Ver los resultados y la configuración de la comprobación de estado:

  • Ver los resultados de una carga de comprobación de estado
  • Ver la configuración de inscripción de la comprobación de estado

Configurar el seguimiento de bloques modificado:

  • Habilitar el seguimiento de bloques modificado
  • Deshabilitar el seguimiento de bloques modificado
  • Destruir los datos asociados a una instantánea y conservar los metadatos
  • Obtener la información de conexión NBD para un VDI

El seguimiento de bloques modificado sólo se puede habilitar para instancias con licencia de Citrix Hypervisor Premium Edition.

Lista de bloques modificados:

  • Comparar dos instantáneas de VDI y enumerar los bloques que han cambiado entre ellas

Configurar PVS-Accelerator:

  • Habilitar PVS-Accelerator
  • Desactivar PVS-Accelerator
  • Configuración de caché de actualización (PVS-Accelerator)
  • Configuración de caché Agregar/Eliminar (acelerador de PVS)

Ver la configuración del acelerador de PVS-:

  • Ver el estado del acelerador de PVS-

Nota:

A veces, un usuario de Sólo lectura no puede mover un recurso a una carpeta de XenCenter, incluso después de recibir una solicitud de elevación y proporcionar las credenciales de un usuario con más privilegios. En este caso, inicie sesión en XenCenter como el usuario más privilegiado y vuelva a intentar la acción.

¿Cómo calcula Citrix Hypervisor los roles de la sesión?

  1. El sujeto se autentica a través del servidor de Active Directory para verificar a qué grupos que contienen el sujeto también puede pertenecer.

  2. A continuación, Citrix Hypervisor comprueba qué roles se han asignado tanto al sujeto como a los grupos que los contienen.

  3. Como los sujetos pueden ser miembros de varios grupos de Active Directory, heredan todos los permisos de los roles asociados.

 En esta ilustración, como el Asunto 2 (Grupo 2) es el Operador de grupo y el Usuario 1 es miembro del Grupo 2, cuando el Asunto 3 (Usuario 1) intenta iniciar sesión, heredan las funciones de Asunto 3 (Operador de máquina virtual) y Grupo 2 (Operador de grupo). Como el rol Operador de grupo es mayor, el rol resultante para el Asunto 3 (Usuario 1) es Operador de grupo y no Operador de VM.