layout: doc description: Learn about the different roles and permissions that can be assigned to your XenServer users.—

Funciones y permisos de RBAC

Roles

XenServer se suministra con las siguientes seis funciones preestablecidas:

Administrador de grupos (administrador de grupos): igual que la raíz local. Puede realizar todas las operaciones.

Nota:

El superusuario local (root) tiene la función de “Administrador del grupo”. La función de administrador del grupo tiene los mismos permisos que la raíz local.

Si le quitas la función de administrador del grupo a un usuario, considera la posibilidad de cambiar también la contraseña raíz y rotar el secreto del grupo. Para obtener más información, consulte Seguridad de la agrupación.
Operador de Agrupación (Operador de Agrupación): Puede hacer todo aparte de agregar/eliminar usuarios y cambiar sus roles. Esta función se centra principalmente en la administración de hosts y grupos (es decir, crear almacenamiento, crear grupos, administrar los hosts, etc.).
Virtual Machine Power Administrator (VM Power Admin): crea y administra máquinas virtuales. Esta función se centra en aprovisionar máquinas virtuales para que las use un operador de VM.
Administrador de máquinas virtuales (administrador de VM): similar a un administrador de energía de VM, pero no puede migrar máquinas virtuales ni realizar instantáneas.
Operador de máquina virtual (operador de VM), similar al administrador de VM, pero no puede crear/destruir máquinas virtuales, pero puede realizar operaciones de ciclo de vida de inicio/detención.
Solo lectura (solo lectura): puede ver el grupo de recursos y los datos de rendimiento.

Nota:

Para aplicar actualizaciones a los grupos de XenServer 8, debe iniciar sesión en XenCenter como administrador u operador de grupos, o con una cuenta raíz local.

Cuando se utilizan grupos de Active Directory para conceder acceso a los usuarios del administrador de grupos que requieren acceso SSH al host, el número de usuarios del grupo de Active Directory no debe superar los 500.

Para obtener un resumen de los permisos disponibles para cada rol y para obtener información sobre las operaciones disponibles para cada permiso, consulte Definiciones de roles y permisos de RBAC en la siguiente sección.

Al crear un usuario en XenServer, primero debe asignar un rol al usuario recién creado para que pueda usar la cuenta. XenServer no asigna automáticamente un rol al usuario recién creado. Como resultado, estas cuentas no tienen acceso al grupo de XenServer hasta que se les asigne una función.

Modificar el tema a la asignación de roles. Esto requiere el permiso de asignar/modificar rol, que solo está disponible para un administrador del grupo.
Modifique la pertenencia al grupo que contiene el usuario en Active Directory.

Definiciones de roles y permisos de RBAC

En la siguiente tabla se resumen los permisos disponibles para cada función. Para obtener detalles sobre las operaciones disponibles para cada permiso, consulte Definiciones de permisos.

Permisos de roles	Administrador del grupo	Operador de grupo	Administrador de energía de VM	Administrador de VM	Operador de VM	Solo lectura
Asignar/modificar funciones	X
Inicie sesión en consolas de servidor (físicas) (a través de SSH y XenCenter)	X
Backup/restore de servidores	X
Importación/exportación de paquetes OVF/OVA e imágenes de disco	X
Establecer núcleos por zócalo	X	X	X	X
Convierta máquinas virtuales con XenServer Conversion Manager	X
Bloqueo del puerto del conmutador	X	X
Múltiples rutas	X	X
Cerrar sesión en las conexiones de usuario activas	X	X
Supervisar los recursos del host y del dom0 con NRPE	X
Supervisar los recursos de host y dom0 con SNMP	X
Crear y descartar alertas	X	X
Cancelar la tarea de cualquier usuario	X	X
Administración de grupo	X	X
Migración en vivo	X	X	X
Migración en vivo de	X	X	X
Operaciones avanzadas de VM	X	X	X
Operaciones de creación/destrucción de VM	X	X	X	X
Medios de CD de cambio de VM	X	X	X	X	X
Cambio de estado de energía de VM	X	X	X	X	X
Ver consolas de VM	X	X	X	X	X
Operaciones de administración de vistas de XenCenter	X	X	X	X	X
Cancelar tareas propias	X	X	X	X	X	X
Leer registros de auditoría	X	X	X	X	X	X
Conéctese al grupo y lea todos los metadatos del grupo	X	X	X	X	X	X
Configurar la GPU virtual	X	X
Ver la configuración de GPU virtual	X	X	X	X	X	X
Acceder a la unidad de configuración (solo máquinas virtuales CoreOS)	X
Instantáneas programadas (agregar/quitar máquinas virtuales a programaciones de instantáneas existentes)	X	X	X
Instantáneas programadas (agregar/modificar/eliminar programaciones de instantáneas)	X	X
Recopilar información de diagnóstico	X	X
Configurar el seguimiento de bloques cambiados	X	X	X	X
Listar bloques cambiados	X	X	X	X	X
Configurar PVS-Accelerator	X	X
Ver la configuración del acelerador PVS	X	X	X	X	X	X

Definiciones de permisos

Asignar/modificar funciones:

Agregar/eliminar usuarios
Agregar o quitar roles de los usuarios
Habilitar y inhabilitar la integración de Active Directory (unirse al dominio)

Este permiso permite al usuario concederse a sí mismo cualquier permiso o realizar cualquier tarea.

Advertencia: Esta función permite al usuario inhabilitar la integración de Active Directory y todos los temas agregados desde Active Directory.

Inicie sesión en las consolas del servidor:

Acceso a la consola del servidor mediante ssh
Acceso a la consola del servidor mediante XenCenter

Advertencia: Con acceso a un shell raíz, la persona asignada puede reconfigurar arbitrariamente todo el sistema, incluido el RBAC.

Operaciones de creación/destrucción de VM de copia de seguridad/restauración de servidores:

Realizar copias de seguridad y restaurar servidores
Realizar copias de seguridad y restaurar metadatos de grupos

La capacidad de restaurar una copia de seguridad permite a la persona asignada revertir los cambios de configuración de RBAC.

Importar/exportar paquetes OVF/OVA e imágenes de disco:

Importar paquetes OVF y OVA
Importar imágenes de disco
Exportación de máquinas virtuales como paquetes OVF/OVA

Establecer núcleos por zócalo:

Establecer la cantidad de núcleos por socket para las CPU virtuales de la VM

Este permiso permite al usuario especificar la topología de las CPU virtuales de la VM.

Convierta máquinas virtuales con XenServer Conversion Manager:

Convertir máquinas virtuales VMware ESXi/vCenter en máquinas virtuales de XenServer

Este permiso permite al usuario convertir cargas de trabajo de VMware a XenServer copiando lotes de máquinas virtuales VMware ESXi/vCenter al entorno de XenServer.

Bloqueo del puerto del conmutador:

Controlar el tráfico en una red

Este permiso permite al usuario bloquear todo el tráfico en una red de forma predeterminada o definir direcciones IP específicas desde las que una máquina virtual puede enviar tráfico.

Rutas múltiples:

Habilitar multipathing
Inhabilitar rutas múltiples

Cerrar sesión en las conexiones de usuario activas:

Posibilidad de desconectar a los usuarios que han

Crear/descartar alertas:

Configurar XenCenter para que genere alertas cuando el uso de recursos supere ciertos umbrales
Eliminar alertas de la vista Alertas

Advertencia: un usuario con este permiso puede descartar las alertas de todo el grupo.

Nota: La capacidad de ver alertas forma parte del permiso Conectarse al grupo y leer todos los metadatos del grupo.

Cancela la tarea de cualquier usuario:

Cancelar la tarea en ejecución de cualquier usuario

Este permiso permite al usuario solicitar a XenServer que cancele una tarea en curso iniciada por cualquier usuario.

Gestión de agrupaciones:

Establecer las propiedades del grupo (nombre, SR predeterminados)
Crea un grupo agrupado
Habilitar, inhabilitar y configurar la alta disponibilidad
Establecer prioridades de reinicio de alta disponibilidad por VM
Configurar DR y realizar operaciones de conmutación por error, conmutación por recuperación y conmutación por error de prueba de DR
Habilitar, inhabilitar y configurar el equilibrio de carga de trabajo (WLB)
Agregar y quitar el servidor del grupo
Coordinador de transición de emergencia a agrupación
Dirección del coordinador de agrupaciones de emergencia
Miembros del grupo de recuperación de emergencia
Designar un nuevo coordinador de agrupaciones
Administrar los certificados de grupos y hosts
Aplicación de parches
Definir las propiedades del anfitrión
Configurar el registro del host
Habilitar y inhabilitar servidores
Apagar, reiniciar y encender los servidores
Reiniciar toolstack
Informes de estado del sistema
Solicitar licencia
Migración en vivo de todas las demás máquinas virtuales de un host a otro host, debido al modo de mantenimiento o a la alta disponibilidad
Configurar la interfaz de administración del host y las interfaces secundarias
Desactivar la administración de hosts
Eliminar volcados de memoria
Agregar, modificar y eliminar redes
Agregar, modificar y eliminar PBDS/PIFS/VLAN/Bonds/SRS
Agregar, eliminar y recuperar secretos

Este permiso incluye todas las acciones necesarias para mantener un grupo.

Nota: Si la interfaz de administración no funciona, ningún inicio de sesión puede autenticarse, excepto los inicios de sesión raíz locales.

Migración en vivo:

Migrar máquinas virtuales de un host a otro cuando las máquinas virtuales estén en almacenamiento compartido por ambos hosts

Migración de almacenamiento en vivo:

Migrar de un host a otro host cuando las VM no estén en el almacenamiento compartido entre los dos hosts
Mover disco vDisk (VDI) de un SR a otro SR

Operaciones avanzadas de VM:

Ajuste de la memoria de la VM (mediante el control dinámico de memoria)
Cree una instantánea de VM con memoria, tome instantáneas de VM y deshaga las VM
Migrar máquinas virtuales
Iniciar máquinas virtuales, incluida la especificación del servidor físico
Reanudar VM

Este permiso proporciona al cesionario privilegios suficientes para iniciar una máquina virtual en un host diferente si no está satisfecho con el host XenServer seleccionado.

Operaciones de creación/destrucción de VM:

Instalar o eliminar
Clonar/copiar máquinas virtuales
Agregar, quitar y configurar dispositivos de disco vDisk/CD
Agregar, eliminar y configurar dispositivos de red virtuales
Importación/exportación de archivos XVA
Cambio de configuración de VM
Backup/restore de servidores

Nota:

La función de administrador de VM solo puede importar archivos XVA a un grupo con una SR compartida. La función de administrador de VM no tiene permisos suficientes para importar un archivo XVA en un host o en un grupo sin almacenamiento compartido.

CD de cambio de VM:

Expulsar el CD actual
Insertar CD nuevo

Importación/exportación de paquetes OVF/OVA; importación de imágenes de disco

Cambio de estado de energía de VM:

Iniciar máquinas virtuales (colocación automática)
Apagar máquinas virtuales
Reiniciar máquinas virtuales
Suspender máquinas virtuales
Reanudar máquinas virtuales (colocación automática)

Este permiso no incluye start_on, resume_on y migrate, que forman parte del permiso de operaciones avanzadas de VM.

Ver consolas de VM:

Vea e interactúe con consolas de VM

Este permiso no permite al usuario ver las consolas host.

Operaciones de administración de vistas de XenCenter:

Crear y modificar carpetas globales de XenCenter
Crear y modificar campos personalizados globales de XenCenter
Crear y modificar búsquedas globales de XenCenter

Las carpetas, los campos personalizados y las búsquedas se comparten entre todos los usuarios que acceden al grupo

Cancelar tareas propias:

Permite a un usuario cancelar sus propias tareas

Lea el registro de auditoría:

Descargar el registro de auditoría de XenServer

Conéctese al grupo y lea todos los metadatos del grupo:

Inicie sesión en la agrupación
Ver metadatos del grupo
Ver datos de rendimiento históricos
Ver los usuarios que han iniciado sesión
Ver usuarios y roles
Ver mensajes
Regístrese y reciba eventos

Configurar la GPU virtual:

Especificar una directiva de ubicación para todo el grupo
Asignar una GPU virtual a una VM
Eliminar una GPU virtual de una VM
Modificar los tipos de GPU virtuales permitidos
Crear, destruir o asignar un grupo de GPU

Ver la configuración de GPU virtual:

Ver GPU, directivas de ubicación de GPU y asignaciones de GPU virtuales

Instantáneas programadas:

Agregar máquinas virtuales a las programaciones de instantáneas existentes
Eliminar las máquinas virtuales de las programaciones de instantáneas existentes
Agregar programaciones de instantáneas
Modificar programas de instantáneas
Eliminar programaciones de instantáneas

Recopile información de diagnóstico de XenServer:

Iniciar la recolección de GC y la compactación del montón
Recopilar estadísticas de recolección de basura
Recopilar estadísticas de bases
Recopilar estadísticas de red

Configurar el seguimiento de bloques modificados:

Habilitar el seguimiento de bloques modificados
Desactivar el seguimiento de bloques modificados
Destruya los datos asociados a una instantánea y conserve los metadatos
Obtener la información de conexión NBD para una VDI

El seguimiento de bloques modificados solo se puede habilitar en instancias con licencia de XenServer Premium Edition.

Lista de bloques cambiados:

Compare dos instantáneas de VDI y enumere los bloques que han cambiado entre ellas

Configurar PVS-Accelerator:

Habilitar PVS-Accelerator
Inhabilitar PVS-Accelerator
Configuración de caché de actualización (PVS-Accelerator)
Agregar o quitar configuración de caché (acelerador PVS)

Ver la configuración del acelerador PVS:

Ver el estado de PVS-Accelerator

Nota:

A veces, un usuario de solo lectura no puede mover un recurso a una carpeta en XenCenter, incluso después de recibir una solicitud de elevación y proporcionar las credenciales de un usuario con más privilegios. En este caso, inicie sesión en XenCenter como el usuario más privilegiado y vuelva a intentar la acción.

¿Cómo calcula XenServer las funciones de la sesión?

El sujeto se autentica a través del servidor de Active Directory para comprobar a qué grupos contendientes puede pertenecer también el sujeto.
A continuación, XenServer verifica qué funciones se han asignado tanto al sujeto como a los grupos que lo contienen.
Como los sujetos pueden ser miembros de varios grupos de Active Directory, heredan todos los permisos de las funciones asociadas.