Rôles et autorisations RBAC
Rôles
Citrix Hypervisor est livré avec les six rôles préétablis suivants :
-
Administrateur de pool (Pool Admin) — identique à la racine locale. Peut effectuer toutes les opérations.
Remarque :
Le super-utilisateur local (root) a le rôle « Admin Pool ». Le rôle Administrateur de pool dispose des mêmes autorisations que la racine locale.
Si vous supprimez le rôle Admin du pool d’un utilisateur, pensez également à modifier le mot de passe racine du serveur et à faire pivoter le secret du pool. Pour plus d’informations, consultez la section Sécurité du pool.
-
Opérateur de pool (Pool Operator) — peut tout faire, sauf ajouter/supprimer des utilisateurs et modifier leurs rôles. Ce rôle est principalement axé sur la gestion des hôtes et des pools (c’est-à-dire la création de stockage, la création de pools, la gestion des hôtes, etc.).
-
Virtual Machine Power Administrator (VM Power Admin) : crée et gère des machines virtuelles. Ce rôle est axé sur le provisionnement des machines virtuelles pour une utilisation par un opérateur de machine virtuelle.
-
Virtual Machine Administrator (VM Admin) : similaire à une machine virtuelle Power Admin, mais ne peut pas migrer des machines virtuelles ou effectuer des snapshots.
-
Virtual Machine Operator (VM Operator), similaire à VM Admin, mais ne peut pas créer/détruire des machines virtuelles, mais peut effectuer des opérations de démarrage/arrêt du cycle de vie.
-
Lecture seule (lecture seule ) : permet d’afficher les données de pool de ressources et de performances.
Avertissement :
lorsque vous utilisez des groupes Active Directory pour accorder l’accès aux utilisateurs Administrateur de pool qui ont besoin d’un accès ssh hôte, le nombre d’utilisateurs dans le groupe Active Directory ne doit pas dépasser 500.
Pour obtenir un résumé des autorisations disponibles pour chaque rôle et pour plus d’informations sur les opérations disponibles pour chaque autorisation, voir Définitions des rôles et autorisations RBAC dans la section suivante.
Lorsque vous créez un utilisateur dans Citrix Hypervisor, vous devez d’abord attribuer un rôle à l’utilisateur nouvellement créé avant qu’il puisse utiliser le compte. Citrix Hypervisor n’attribue pas automatiquement de rôle à l’utilisateur nouvellement créé. Par conséquent, ces comptes n’ont aucun accès au pool Citrix Hypervisor tant que vous ne leur attribuez pas un rôle.
-
Modifiez l’objet du mappage de rôle. Cela nécessite l’autorisation assigner/modifier le rôle, disponible uniquement pour un administrateur de pool.
-
Modifiez l’appartenance au groupe de l’utilisateur dans Active Directory.
Définitions des rôles et autorisations RBAC
Le tableau suivant récapitule les autorisations disponibles pour chaque rôle. Pour plus de détails sur les opérations disponibles pour chaque autorisation, voir Définitions des autorisations.
Autorisations de rôle | Administrateur du pool | Opérateur de pool | Administrateur d’alimentation de la machine virtuelle | Administrateur VM | Opérateur VM | Lecture seule |
---|---|---|---|---|---|---|
Affecter/modifier des rôles | X | |||||
Connectez-vous aux consoles de serveur (physiques) (via SSH et XenCenter) | X | |||||
Sauvegarde/restauration du serveur | X | |||||
Importation/exportation de paquets OVF/OVA et d’images disque | X | |||||
Définir les cœurs par socket | X | X | X | X | ||
Convertir des machines virtuelles à l’aide de Citrix Hypervisor Conversion Manager | X | |||||
Verrouillage du port de commutation | X | X | ||||
Multiacheminement | X | X | ||||
Déconnexion des connexions utilisateur actives | X | X | ||||
Créer et rejeter des alertes | X | X | ||||
Annuler la tâche de n’importe quel utilisateur | X | X | ||||
Gestion de pool | X | X | ||||
Migration dynamique | X | X | X | |||
Migration dynamique du stockage | X | X | X | |||
Opérations avancées de la machine virtuelle | X | X | X | |||
Opérations de création et de destruction de machines virtuelles | X | X | X | X | ||
Changer le support de CD des VM | X | X | X | X | X | |
Changer l’état d’alimentation des VM | X | X | X | X | X | |
Afficher les consoles VM | X | X | X | X | X | |
Opérations de gestion des vues XenCenter | X | X | X | X | X | |
Annuler ses propres tâches | X | X | X | X | X | X |
Lire les journaux d’audit | X | X | X | X | X | X |
Se connecter au pool et lire toutes les métadonnées du pool | X | X | X | X | X | X |
Configurer le GPU virtuel | X | X | ||||
Afficher la configuration du GPU virtuel | X | X | X | X | X | X |
Accéder au lecteur de configuration (machines virtuelles CoreOS uniquement) | X | |||||
Instantanés planifiés (ajouter/supprimer des machines virtuelles aux planifications d’instantanés existantes) | X | X | X | |||
Instantanés planifiés (Ajouter/Modifier/Supprimer des planifications de clichés) | X | X | ||||
Collecte des informations de diagnostic | X | X | ||||
Configurer le contrôle de l’intégrité | X | X | ||||
Afficher les résultats et les paramètres de contrôle de l’intégrité | X | X | X | X | X | X |
Configurer le suivi des blocs modifiés | X | X | X | X | ||
Liste des blocs modifiés | X | X | X | X | X | |
Configurer PVS-Accelerator | X | X | ||||
Afficher la configuration de PVS-Accelerator | X | X | X | X | X | X |
Définitions des autorisations
Affecter/modifier des rôles :
- Ajouter/supprimer des utilisateurs
- Ajouter/supprimer des rôles des utilisateurs
- Activer et désactiver l’intégration Active Directory (en cours de connexion au domaine)
Cette autorisation permet à l’utilisateur d’accorder une autorisation ou d’effectuer n’importe quelle tâche.
Avertissement : Ce rôle permet à l’utilisateur de désactiver l’intégration Active Directory et tous les sujets ajoutés à partir d’Active Directory.
Connectez-vous aux consoles serveur :
- Accès à la console du serveur via ssh
- Accès à la console du serveur via XenCenter
Avertissement : Avec l’accès à un shell racine, le cessionnaire peut reconfigurer arbitrairement l’ensemble du système, y compris RBAC.
Sauvegarde/restauration du serveur VM opérations créer/détruire :
- Sauvegarde et restauration des serveurs
- Sauvegarde et restauration des métadonnées du pool
La possibilité de restaurer une sauvegarde permet au destinataire de rétablir les modifications de configuration RBAC.
Importation/exportation de paquets OVF/OVA et d’images disque :
- Importer des paquets OVF et OVA
- Importer des images de disque
- Exporter des machines virtuelles sous forme de packages OVF/OVA
Définir les cœurs-par socket :
- Définir le nombre de cœurs par socket pour les processeurs virtuels de la machine virtuelle
Cette autorisation permet à l’utilisateur de spécifier la topologie des processeurs virtuels de la machine virtuelle.
Convertir des machines virtuelles à l’aide de Citrix Hypervisor Conversion Manager :
- Convertir des machines virtuelles VMware en machines virtuelles Citrix Hypervisor
Cette autorisation permet à l’utilisateur de convertir des charges de travail de VMware vers Citrix Hypervisor en copiant des lots de machines virtuelles VMware dans un environnement Citrix Hypervisor.
Verrouillage du port de commutation :
- Contrôle du trafic sur un réseau
Cette autorisation permet à l’utilisateur de bloquer par défaut tout le trafic sur un réseau ou de définir des adresses IP spécifiques à partir desquelles une machine virtuelle est autorisée à envoyer du trafic.
Multiacheminement :
- Activer le multiacheminement
- Désactiver le multiacheminement
Déconnexion des connexions utilisateur actives :
- Possibilité de déconnecter les utilisateurs connectés
Créer/rejeter des alertes :
- Configurer XenCenter pour générer des alertes lorsque l’utilisation des ressources dépasse certains seuils
- Supprimer les alertes de la vue Alertes
Avertissement : un utilisateur disposant de cette autorisation peut ignorer les alertes pour l’ensemble du pool.
Remarque : la possibilité d’afficher les alertes fait partie de l’autorisation Se connecter au pool et lire toutes les métadonnées du pool.
Annuler la tâche de tout utilisateur :
- Annuler la tâche en cours d’exécution d’un utilisateur
Cette autorisation permet à l’utilisateur de demander Citrix Hypervisor d’annuler une tâche en cours initiée par tout utilisateur.
Gestion de la piscine :
- Définir les propriétés du pool (nommage, SR par défaut)
- Créer un pool en cluster
- Activer, désactiver et configurer la haute disponibilité
- Définir les priorités de redémarrage haute disponibilité par machine virtuelle
- Configurer la reprise après sinistre et effectuer le basculement, le retour arrière et les opérations de test de basculement
- Activer, désactiver et configurer l’équilibrage de la charge de travail (WLB)
- Ajouter et supprimer un serveur du pool
- Transition d’urgence vers le master
- Adresse principale d’urgence
- Membres du pool de récupération d’urgence
- Désigner un nouveau maître
- Gérer les certificats de pool et de serveur
- Application de correctifs
- Définir les propriétés du serveur
- Configurer la journalisation du serveur
- Activer et désactiver les serveurs
- Arrêt, redémarrage et mise sous tension des serveurs
- Redémarrer la pile d’outils
- Rapports d’état du système
- Appliquer une licence
- Migration en direct de toutes les autres machines virtuelles d’un serveur vers un autre serveur, en raison du mode de maintenance ou de la haute disponibilité
- Configurer l’interface de gestion du serveur et les interfaces secondaires
- Désactiver la gestion du serveur
- Supprimer les crashdumps
- Ajouter, modifier et supprimer des réseaux
- Ajouter, modifier et supprimer des PBDS/PIFS/VLans/Bonds/SRS
- Ajouter, supprimer et récupérer des secrets
Cette autorisation inclut toutes les actions nécessaires pour maintenir un pool.
Remarque : Si l’interface de gestion ne fonctionne pas, aucune connexion ne peut s’authentifier, sauf les connexions racine locales.
Migration en direct :
- Migrer des machines virtuelles d’un hôte vers un autre hôte lorsque les machines virtuelles sont sur un stockage partagé par les deux hôtes
Migration en direct du stockage :
- Migrer d’un hôte vers un autre hôte lorsque les machines virtuelles ne sont pas sur le stockage partagé entre les deux hôtes
- Déplacer le disque virtuel (VDI) d’un SR vers un autre SR
Opérations avancées de la machine virtuelle :
- Régler la mémoire de la machine virtuelle (via le contrôle dynamique de la mémoire)
- Créer un instantané de machine virtuelle avec de la mémoire, prendre des instantanés de machine virtuelle et restaurer des machines virtuelles
- Migration des machines virtuelles
- Démarrer des machines virtuelles, y compris la spécification du serveur physique
- Reprendre les machines virtuelles
Cette autorisation fournit au destinataire suffisamment de privilèges pour démarrer une machine virtuelle sur un autre serveur s’il n’est pas satisfait du serveur Citrix Hypervisor sélectionné.
Opérations de création/destruction de machines virtuelles :
- Installer ou supprimer
- Cloner/Copier des machines virtuelles
- Ajouter, supprimer et configurer des périphériques de disque virtuel/CD
- Ajouter, supprimer et configurer des périphériques réseau virtuels
- Importation/exportation de fichiers XVA
- Modification de la configuration de la machine virtuelle
- Sauvegarde/restauration du serveur
Remarque :
Le rôle Admin VM peut importer des fichiers XVA uniquement dans un pool avec un SR partagé. Le rôle Administrateur de machine virtuelle dispose d’autorisations insuffisantes pour importer un fichier XVA dans un hôte ou dans un pool sans stockage partagé.
VM changer le support du CD :
- Éjecter le CD en cours
- Insérer un nouveau CD
Importation/exportation de paquets OVF/OVA ; importation d’images disque
Modifier l’état de l’alimentation de la machine virtuelle :
- Démarrer des machines virtuelles (placement automatique)
- Arrêter les machines virtuelles
- Redémarrer les machines virtuelles
- Suspendre les machines virtuelles
- Reprendre les machines virtuelles (placement automatique)
Cette autorisation n’inclut pas start_on, resume_on et migrer, qui font partie de l’autorisation des opérations avancées de la machine virtuelle.
Afficher les consoles VM :
- Voir et interagir avec les consoles de machines virtuelles
Cette autorisation ne permet pas à l’utilisateur d’afficher les consoles du serveur.
Opérations de gestion des vues XenCenter :
- Créer et modifier des dossiers XenCenter globaux
- Créer et modifier des champs personnalisés XenCenter globaux
- Créer et modifier des recherches globales XenCenter
Les dossiers, les champs personnalisés et les recherches sont partagés entre tous les utilisateurs qui accèdent au pool
Annuler ses propres tâches :
- Permet à un utilisateur d’annuler ses propres tâches
Lire le journal d’audit :
- Téléchargez le journal d’audit Citrix Hypervisor
Connectez-vous au pool et lisez toutes les métadonnées du pool :
- Se connecter au pool
- Afficher les métadonnées du pool
- Afficher les données historiques sur les performances
- Afficher les utilisateurs connectés
- Afficher les utilisateurs et les rôles
- Afficher les messages
- Inscrivez-vous et recevez des événements
Configurer le GPU virtuel :
- Spécifier une stratégie de placement à l’échelle du pool
- Affecter un GPU virtuel à une machine virtuelle
- Supprimer un GPU virtuel d’une machine virtuelle
- Modifier les types de GPU virtuels autorisés
- Créer, détruire ou affecter un groupe GPU
Afficher la configuration du GPU virtuel :
- Afficher les GPU, les stratégies de placement GPU et les affectations GPU virtuelles
Accédez au lecteur de configuration (machines virtuelles CoreOS uniquement) :
- Accéder au pilote de configuration de la machine virtuelle
- Modifier les paramètres de cloud-config
Instantanés planifiés :
- Ajouter des machines virtuelles aux planifications d’instantanés existantes
- Supprimer les machines virtuelles des planifications d’instantané existantes
- Ajouter des calendriers d’instantanés
- Modifier les calendriers d’instantanés
- Supprimer les planifications d’instantanés
Recueillez des informations de diagnostic auprès de Citrix Hypervisor :
- Lancement de la collecte du GC et du compactage du tas
- Recueillir les statistiques de collecte
- Recueillir des statistiques
- Collectez des statistiques réseau
Configurer le contrôle de l’état :
- Activer le contrôle de l’état
- Désactiver le contrôle de l’état
- Mise à jour des paramètres de vérification de l’état
- Charger manuellement un rapport d’état du serveur
Afficher les résultats et les paramètres du contrôle de santé :
- Afficher les résultats d’un téléchargement du bilan de santé
- Afficher les paramètres d’inscription du contrôle de l’état
Configurer le suivi des blocs modifiés :
- Activer le suivi des blocs modifiés
- Désactiver le suivi des blocs modifiés
- Détruisez les données associées à un instantané et conservez les métadonnées
- Obtenir les informations de connexion NBD pour un VDI
Le suivi des blocs modifiés ne peut être activé que pour les instances sous licence de Citrix Hypervisor Premium Edition.
Liste des blocs modifiés :
- Comparez deux instantanés VDI et lister les blocs qui ont changé entre eux
Configurer PVS Accelerator :
- Activer l’accélérateur PVS
- Désactiver l’accélérateur PVS
- Configuration du cache de mise à jour (PVS-Accelerator)
- Ajout/Suppression de la configuration du cache (PVS-Accelerator)
Afficher la configuration de l’accélérateur PVS :
- Afficher l’état de PVS Accelerator
Remarque :
Parfois, un utilisateur en lecture seule ne peut pas déplacer une ressource vers un dossier dans XenCenter, même après avoir reçu une invite d’élévation et fourni les informations d’identification d’un utilisateur plus privilégié. Dans ce cas, connectez-vous à XenCenter en tant qu’utilisateur privilégié et réessayez l’action.
Comment Citrix Hypervisor calcule-t-il les rôles pour la session ?
-
Le sujet est authentifié via le serveur Active Directory pour vérifier à quels groupes le sujet peut également appartenir.
-
Citrix Hypervisor vérifie ensuite quels rôles ont été attribués à la fois au sujet et aux groupes qu’il contient.
-
Comme les sujets peuvent être membres de plusieurs groupes Active Directory, ils héritent de toutes les autorisations des rôles associés.