Rôles et autorisations RBAC

Rôles

Citrix Hypervisor est livré avec les six rôles préétablis suivants :

  • Administrateur de pool (Pool Admin) — identique à la racine locale. Peut effectuer toutes les opérations.

    Remarque :

    Le super-utilisateur local (root) a le rôle « Admin Pool ». Le rôle Administrateur de pool dispose des mêmes autorisations que la racine locale.

  • Opérateur de pool (Pool Operator) — peut tout faire, sauf ajouter/supprimer des utilisateurs et modifier leurs rôles. Ce rôle est principalement axé sur la gestion des hôtes et des pools (c’est-à-dire la création de stockage, la création de pools, la gestion des hôtes, etc.).

  • Virtual Machine Power Administrator (VM Power Admin) : crée et gère des machines virtuelles. Ce rôle est axé sur le provisionnement des machines virtuelles pour une utilisation par un opérateur de machine virtuelle.

  • Virtual Machine Administrator (VM Admin) : similaire à une machine virtuelle Power Admin, mais ne peut pas migrer des machines virtuelles ou effectuer des snapshots.

  • Virtual Machine Operator (VM Operator), similaire à VM Admin, mais ne peut pas créer/détruire des machines virtuelles, mais peut effectuer des opérations de démarrage/arrêt du cycle de vie.

  • Lecture seule (lecture seule ) : permet d’afficher les données de pool de ressources et de performances.

Avertissement :

lorsque vous utilisez des groupes Active Directory pour accorder l’accès aux utilisateurs Administrateur de pool qui ont besoin d’un accès ssh hôte, le nombre d’utilisateurs dans le groupe Active Directory ne doit pas dépasser 500.

Pour obtenir un résumé des autorisations disponibles pour chaque rôle et pour plus d’informations sur les opérations disponibles pour chaque autorisation, voir Définitions des rôles et autorisations RBAC dans la section suivante.

Lorsque vous créez un utilisateur dans Citrix Hypervisor, vous devez d’abord attribuer un rôle à l’utilisateur nouvellement créé avant qu’il puisse utiliser le compte. Citrix Hypervisor n’attribue pas automatiquement un rôle à l’utilisateur nouvellement créé. Par conséquent, ces comptes n’ont aucun accès au pool Citrix Hypervisor tant que vous ne leur attribuez pas un rôle.

  1. Modifiez l’objet du mappage de rôle. Cela nécessite l’autorisation assigner/modifier le rôle, disponible uniquement pour un administrateur de pool.

  2. Modifiez l’appartenance au groupe de l’utilisateur dans Active Directory.

Définitions des rôles et autorisations RBAC

Le tableau suivant récapitule les autorisations disponibles pour chaque rôle. Pour plus de détails sur les opérations disponibles pour chaque autorisation, voir Définitions des autorisations.

Autorisations de rôle Administrateur du pool Opérateur de pool Administrateur d’alimentation de la machine virtuelle Administrateur VM Opérateur VM Lecture seule
Affecter/modifier des rôles X          
Connectez-vous à des consoles de serveur (physiques) (via SSH et XenCenter) X          
Sauvegarde/restauration du serveur X          
Importation/exportation de paquets OVF/OVA et d’images disque X          
Définir les cœurs par socket X X X X    
Convertir des machines virtuelles à l’aide de Citrix Hypervisor Conversion Manager X          
Verrouillage du port de commutation X X        
Multiacheminement X X        
Déconnexion des connexions utilisateur actives X X        
Créer et rejeter des alertes X X        
Annuler la tâche de n’importe quel utilisateur X X        
Gestion de pool X X        
Migration dynamique X X X      
Migration live du stockage X X X      
Opérations avancées de la machine virtuelle X X X      
Opérations de création et de destruction de machines virtuelles X X X X    
VM changer le support de CD X X X X X  
VM changer l’état de l’alimentation X X X X X  
Afficher les consoles VM X X X X X  
Opérations de gestion des vues XenCenter X X X X X  
Annuler ses propres tâches X X X X X X
Lire les journaux d’audit X X X X X X
Se connecter au pool et lire toutes les métadonnées du pool X X X X X X
Configurer le GPU virtuel X X        
Afficher la configuration du GPU virtuel X X X X X X
Accéder au lecteur de configuration (machines virtuelles CoreOS uniquement) X          
Gestion des conteneurs X          
Instantanés planifiés (ajouter/supprimer des machines virtuelles aux planifications de snapshots existantes) X X X      
Instantanés planifiés (Ajouter/Modifier/Supprimer des planifications de clichés) X X        
Configurer la vérification de l’état X X        
Afficher les résultats et les paramètres du contrôle de santé X X X X X X
Configurer le suivi des blocs modifiés X X X X    
Liste des blocs modifiés X X X X X  
Configurer l’accélérateur PVS X X        
Afficher la configuration de l’accélérateur PVS X X X X X X

Définitions des autorisations

Affecter/modifier des rôles :

  • Ajouter/supprimer des utilisateurs
  • Ajouter/supprimer des rôles des utilisateurs
  • Activer et désactiver l’intégration Active Directory (en cours de connexion au domaine)

Cette autorisation permet à l’utilisateur d’accorder une autorisation ou d’effectuer n’importe quelle tâche.

Avertissement : Ce rôle permet à l’utilisateur de désactiver l’intégration Active Directory et tous les sujets ajoutés à partir d’Active Directory.

Connectez-vous aux consoles serveur :

  • Accès à la console du serveur via ssh
  • Accès à la console du serveur via XenCenter

Avertissement : Avec l’accès à un shell racine, le cessionnaire peut reconfigurer arbitrairement l’ensemble du système, y compris RBAC.

Sauvegarde/restauration du serveur VM opérations créer/détruire :

  • Sauvegarde et restauration des serveurs
  • Sauvegarde et restauration des métadonnées du pool

La possibilité de restaurer une sauvegarde permet au destinataire de rétablir les modifications de configuration RBAC.

Importation/exportation de paquets OVF/OVA et d’images disque :

  • Importer des paquets OVF et OVA
  • Importer des images de disque
  • Exporter des machines virtuelles sous forme de packages OVF/OVA

Définir les cœurs-par socket :

  • Définir le nombre de cœurs par socket pour les processeurs virtuels de la machine virtuelle

Cette autorisation permet à l’utilisateur de spécifier la topologie des processeurs virtuels de la machine virtuelle.

Convertir des machines virtuelles à l’aide de Citrix Hypervisor Conversion Manager :

  • Convertir des machines virtuelles VMware en machines virtuelles Citrix Hypervisor

Cette autorisation permet à l’utilisateur de convertir des charges de travail de VMware en Citrix Hypervisor en copiant des lots de machines virtuelles VMware vers un environnement Citrix Hypervisor.

Verrouillage du port de commutation :

  • Contrôle du trafic sur un réseau

Cette autorisation permet à l’utilisateur de bloquer par défaut tout le trafic sur un réseau ou de définir des adresses IP spécifiques à partir desquelles une machine virtuelle est autorisée à envoyer du trafic.

Multiacheminement :

  • Activer le multiacheminement
  • Désactiver le multiacheminement

Déconnexion des connexions utilisateur actives :

  • Possibilité de déconnecter les utilisateurs connectés

Créer/rejeter des alertes :

  • Configurer XenCenter pour générer des alertes lorsque l’utilisation des ressources dépasse certains seuils
  • Supprimer les alertes de la vue Alertes

Avertissement : un utilisateur disposant de cette autorisation peut ignorer les alertes pour l’ensemble du pool.

Remarque : la possibilité d’afficher les alertes fait partie de l’autorisation Se connecter au pool et lire toutes les métadonnées du pool.

Annuler la tâche de tout utilisateur :

  • Annuler la tâche en cours d’exécution d’un utilisateur

Cette autorisation permet à l’utilisateur de demander Citrix Hypervisor d’annuler une tâche en cours initiée par n’importe quel utilisateur.

Gestion du pool :

  • Définir les propriétés du pool (nommage, SR par défaut)
  • Créer un pool en cluster
  • Activer, désactiver et configurer la haute disponibilité
  • Définir les priorités de redémarrage haute disponibilité par machine virtuelle
  • Configurer la reprise après sinistre et effectuer le basculement, le retour arrière et les opérations de test de basculement
  • Activer, désactiver et configurer l’équilibrage de la charge de travail (WLB)
  • Ajouter et supprimer un serveur du pool
  • Transition d’urgence vers le maître
  • Adresse principale d’urgence
  • Esclaves de récupération d’urgence
  • Désigner un nouveau maître
  • Gérer les certificats de pool et de serveur
  • Application de correctifs
  • Définir les propriétés du serveur
  • Configurer la journalisation du serveur
  • Activer et désactiver les serveurs
  • Arrêt, redémarrage et mise sous tension des serveurs
  • Redémarrer la pile d’outils
  • Rapports d’état du système
  • Appliquer une licence
  • Migration en direct de toutes les autres machines virtuelles sur un serveur vers un autre serveur, en raison du mode de maintenance ou de la haute disponibilité
  • Configurer l’interface de gestion du serveur et les interfaces secondaires
  • Désactiver la gestion du serveur
  • Supprimer les crashdumps
  • Ajouter, modifier et supprimer des réseaux
  • Ajouter, modifier et supprimer des PBDS/PIFS/VLans/Bonds/SRS
  • Ajouter, supprimer et récupérer des secrets

Cette autorisation inclut toutes les actions nécessaires pour maintenir un pool.

Remarque : Si l’interface de gestion ne fonctionne pas, aucune connexion ne peut s’authentifier, sauf les connexions racine locales.

Migration en direct :

  • Migrer des machines virtuelles d’un hôte vers un autre hôte lorsque les machines virtuelles sont sur un stockage partagé par les deux hôtes

Migration en direct du stockage :

  • Migrer d’un hôte vers un autre hôte lorsque les machines virtuelles ne sont pas sur le stockage partagé entre les deux hôtes
  • Déplacer le disque virtuel (VDI) d’un SR vers un autre SR

Opérations avancées de la machine virtuelle :

  • Régler la mémoire de la machine virtuelle (via le contrôle dynamique de la mémoire)
  • Créer un snapshot de machine virtuelle avec de la mémoire, prendre des snapshots de machine virtuelle et restaurer des machines virtuelles
  • Migration des machines virtuelles
  • Démarrer des machines virtuelles, y compris la spécification du serveur physique
  • Reprendre les machines virtuelles

Cette autorisation fournit au destinataire des privilèges suffisants pour démarrer une machine virtuelle sur un autre serveur s’il n’est pas satisfait du serveur Citrix Hypervisor sélectionné.

Opérations de création/destruction de machines virtuelles :

  • Installer ou supprimer
  • Cloner/Copier des machines virtuelles
  • Ajouter, supprimer et configurer des périphériques de disque virtuel/CD
  • Ajouter, supprimer et configurer des périphériques réseau virtuels
  • Importation/exportation de fichiers XVA
  • Modification de la configuration de la machine virtuelle
  • Sauvegarde/restauration du serveur

Remarque :

Le rôle Admin VM peut importer des fichiers XVA uniquement dans un pool avec un SR partagé. Le rôle Administrateur de machine virtuelle dispose d’autorisations insuffisantes pour importer un fichier XVA dans un hôte ou dans un pool sans stockage partagé.

VM changer le support du CD :

  • Éjecter le CD en cours
  • Insérer un nouveau CD

Importation/exportation de paquets OVF/OVA ; importation d’images disque

Modifier l’état de l’alimentation de la machine virtuelle :

  • Démarrer des machines virtuelles (placement automatique)
  • Arrêter les machines virtuelles
  • Redémarrer les machines virtuelles
  • Suspendre les machines virtuelles
  • Reprendre les machines virtuelles (placement automatique)

Cette autorisation n’inclut pas start_on, resume_on et migrer, qui font partie de l’autorisation des opérations avancées de la machine virtuelle.

Afficher les consoles VM :

  • Voir et interagir avec les consoles de machines virtuelles

Cette autorisation ne permet pas à l’utilisateur d’afficher les consoles du serveur.

Opérations de gestion des vues XenCenter :

  • Créer et modifier des dossiers XenCenter globaux
  • Créer et modifier des champs personnalisés XenCenter globaux
  • Créer et modifier des recherches XenCenter globales

Les dossiers, les champs personnalisés et les recherches sont partagés entre tous les utilisateurs qui accèdent au pool

Annuler ses propres tâches :

  • Permet à un utilisateur d’annuler ses propres tâches

Lire le journal d’audit :

  • Télécharger le journal d’audit Citrix Hypervisor

Connectez-vous au pool et lisez toutes les métadonnées du pool :

  • Se connecter au pool
  • Afficher les métadonnées du pool
  • Afficher les données historiques sur les performances
  • Afficher les utilisateurs connectés
  • Afficher les utilisateurs et les rôles
  • Afficher les messages
  • Inscrivez-vous et recevez des événements

Configurer le GPU virtuel :

  • Spécifier une stratégie de placement à l’échelle du pool
  • Affecter un GPU virtuel à une machine virtuelle
  • Supprimer un GPU virtuel d’une machine virtuelle
  • Modifier les types de GPU virtuels autorisés
  • Créer, détruire ou affecter un groupe GPU

Afficher la configuration du GPU virtuel :

  • Afficher les GPU, les stratégies de placement GPU et les affectations GPU virtuelles

Accédez au lecteur de configuration (machines virtuelles CoreOS uniquement) :

  • Accéder au pilote de configuration de la machine virtuelle
  • Modifier les paramètres de cloud-config

Gestion des conteneurs :

  • Commencez
  • Arrête
  • Pause
  • Reprenez
  • Accès aux informations sur le conteneur

Instantanés planifiés :

  • Ajouter des machines virtuelles aux planifications de snapshots existantes
  • Supprimer les machines virtuelles des planifications de snapshots existantes
  • Ajouter des calendriers d’instantanés
  • Modifier les calendriers d’instantanés
  • Supprimer les planifications d’instantanés

Configurer le contrôle de l’état :

  • Activer le contrôle de l’état
  • Désactiver le contrôle de l’état
  • Mise à jour des paramètres de vérification de l’état
  • Charger manuellement un rapport d’état du serveur

Afficher les résultats et les paramètres du contrôle de santé :

  • Afficher les résultats d’un téléchargement du bilan de santé
  • Afficher les paramètres d’inscription du contrôle de l’état

Configurer le suivi des blocs modifiés :

  • Activer le suivi des blocs modifiés
  • Désactiver le suivi des blocs modifiés
  • Détruisez les données associées à un instantané et conservez les métadonnées
  • Obtenir les informations de connexion NBD pour un VDI

Le suivi des blocs modifiés ne peut être activé que pour les instances sous licence de Citrix Hypervisor Premium Edition.

Liste des blocs modifiés :

  • Comparez deux instantanés VDI et lister les blocs qui ont changé entre eux

Configurer PVS Accelerator :

  • Activer l’accélérateur PVS
  • Désactiver l’accélérateur PVS
  • Configuration du cache de mise à jour (PVS-Accelerator)
  • Ajout/Suppression de la configuration du cache (PVS-Accelerator)

Afficher la configuration de l’accélérateur PVS :

  • Afficher l’état de PVS Accelerator

Remarque :

Parfois, un utilisateur en lecture seule ne peut pas déplacer une ressource dans un dossier dans XenCenter, même après avoir reçu une invite d’élévation et fourni les informations d’identification d’un utilisateur plus privilégié. Dans ce cas, connectez-vous à XenCenter en tant qu’utilisateur privilégié et réessayez l’action.

Comment Citrix Hypervisor calcule-t-il les rôles de la session ?

  1. Le sujet est authentifié via le serveur Active Directory pour vérifier à quels groupes le sujet peut également appartenir.

  2. Citrix Hypervisor vérifie ensuite quels rôles ont été attribués à la fois au sujet et à ses groupes contenant.

  3. Comme les sujets peuvent être membres de plusieurs groupes Active Directory, ils héritent de toutes les autorisations des rôles associés.

 Dans cette illustration, comme le sujet 2 (groupe 2) est l'opérateur de pool et l'utilisateur 1 est membre du groupe 2, lorsque le sujet 3 (utilisateur 1) essaie de se connecter, il hérite à la fois des rôles Subject 3 (opérateur de VM) et Groupe 2 (opérateur de pool). Comme le rôle Opérateur de pool est plus élevé, le rôle résultant pour le sujet 3 (utilisateur 1) est Opérateur de pool et non Opérateur de VM.