Roles y permisos de RBAC
Importante:
La actualización acumulativa 1 de Citrix Hypervisor 8.2 llega al final de su vida útil el 25 de junio de 2025. Planifique su actualización a XenServer 8 ahora para garantizar una transición fluida y un soporte continuo. Para obtener más información, consulte Actualizar.
Si utiliza los archivos de licencia de Citrix Virtual Apps and Desktops para licenciar los hosts de Citrix Hypervisor 8.2 Cumulative Update 1, estos archivos de licencia no son compatibles con XenServer 8. Antes de actualizar, debe adquirir los archivos de licencia de socket de XenServer Premium Edition para utilizarlos con XenServer 8. Estos archivos de licencia de socket están disponibles como un derecho de las suscripciones de Citrix para Private Cloud, Citrix Universal Hybrid Multi-Cloud, Citrix Universal MSP y Citrix Platform License para ejecutar sus cargas de trabajo de Citrix. Los clientes de Citrix que aún no hayan realizado la transición a estas nuevas suscripciones pueden solicitar participar en una promoción gratuita de 10.000 licencias de socket de XenServer Premium Edition. Para obtener más información, consulte XenServer.
Si no obtiene una licencia compatible para XenServer 8 antes de actualizar, cuando actualice sus hosts, estos volverán a la edición de prueba de 90 días. La Edición de Prueba ofrece las mismas características que la Edición Premium con algunas limitaciones. Para obtener más información, consulte Descripción general de las licencias de XenServer 8.
Roles
Citrix Hypervisor se envía con las siguientes seis funciones preestablecidas:
-
Administrador de Pool (Pool Admin) – lo mismo que la raíz local. Puede realizar todas las operaciones.
Nota: No
El superusuario local (root) tiene el rol “Administrador del grupo”. El rol de administrador del grupo tiene los mismos permisos que la raíz local.
Si quita el rol de administrador de grupo de un usuario, considere también la posibilidad de cambiar la contraseña raíz del servidor y rotar el secreto del grupo. Para obtener más información, consulte Seguridad de la piscina.
-
Operador de piscina (Operador de grupo): puede hacer todo, excepto agregar/eliminar usuarios y cambiar sus roles. Este rol se centra principalmente en la administración de hosts y grupos (es decir, la creación de almacenamiento, la creación de grupos, la administración de los hosts, etc.).
-
Administrador de energía de máquina virtual (VM Power Admin): crea y administra máquinas virtuales. Este rol se centra en el aprovisionamiento de máquinas virtuales para su uso por parte de un operador de máquinas virtuales.
-
Administrador de máquinas virtuales (VM Admin): similar a un VM Power Admin, pero no puede migrar máquinas virtuales ni realizar instantáneas.
-
Operador de máquina virtual (Operador de VM): similar al administrador de VM, pero no puede crear o destruir máquinas virtuales, pero puede realizar operaciones de ciclo de vida de inicio/detención.
-
Solo lectura (Solo lectura): puede ver el grupo de recursos y los datos de rendimiento.
Advertencia:
Al utilizar grupos de Active Directory para conceder acceso a los usuarios de Pool Administrator que requieren acceso ssh de host, el número de usuarios del grupo de Active Directory no debe superar los 500.
Para obtener un resumen de los permisos disponibles para cada rol y para obtener información sobre las operaciones disponibles para cada permiso, consulte Definiciones de roles y permisos de RBAC en la siguiente sección.
Al crear un usuario en Citrix Hypervisor, primero debe asignar una función al usuario recién creado para que pueda usar la cuenta. Hipervisor de Citrix No Asigne automáticamente un rol al usuario recién creado. Como resultado, estas cuentas no tienen acceso al grupo de Citrix Hypervisor hasta que se les asigne una función.
-
Modifique el asunto para la asignación de roles. Esto requiere el permiso de asignar/modificar rol, solo disponible para un administrador de grupo.
-
Modifique la pertenencia al grupo contenedor del usuario en Active Directory.
Definiciones de roles y permisos de RBAC
En la tabla siguiente se resumen los permisos disponibles para cada rol. Para obtener más información sobre las operaciones disponibles para cada permiso, consulte Definiciones de permisos.
| Permisos de rol | Administrador de la piscina | Operador de agrupaciones | Administrador avanzado de VM | Administrador de máquinas virtuales | Operador de VM | Solo lectura |
|---|---|---|---|---|---|---|
| Asignar/modificar roles | X | |||||
| Inicie sesión en consolas de servidor (físicas) (a través de SSH y XenCenter) | X | |||||
| Copia de seguridad/restauración del servidor | X | |||||
| Importar paquetes OVF/OVA; Importar imágenes de disco | X | |||||
| Importar paquetes XVA | X | X | X | |||
| Exportación de paquetes OVF/OVA | X | |||||
| Exportación de paquetes XVA | X | X | X | |||
| Establecer núcleos por socket | X | X | X | X | ||
| Conversión de máquinas virtuales mediante el Administrador de conversiones | X | |||||
| Bloqueo de puerto de switch | X | X | ||||
| Rutas múltiples | X | X | ||||
| Cerrar sesión en las conexiones de usuario activas | X | X | ||||
| Crear y descartar alertas | X | X | ||||
| Cancelar tarea de cualquier usuario | X | X | ||||
| Gestión de piscinas | X | X | ||||
| Migración en vivo | X | X | X | |||
| Migración en vivo de almacenamiento | X | X | X | |||
| Operaciones avanzadas de VM | X | X | X | |||
| Operaciones de creación/destrucción de máquinas virtuales | X | X | X | X | ||
| Cambiar el medio de CD de la máquina virtual | X | X | X | X | X | |
| Cambiar el estado de energía de la máquina virtual | X | X | X | X | X | |
| Visualización de consolas de VM | X | X | X | X | X | |
| vApps (Agregar/Modificar/Eliminar vApps) | X | X | ||||
| vApps (Iniciar/Apagar vApps) | X | X | ||||
| vApps (Agregar o quitar máquinas virtuales a una vApp existente) | X | X | ||||
| vApps (Ver vApps) | X | X | X | X | X | X |
| Operaciones de administración de vistas de XenCenter | X | X | X | X | X | |
| Cancelar tareas propias | X | X | X | X | X | X |
| Leer registros de auditoría | X | X | X | X | X | X |
| Conéctese al grupo y lea todos los metadatos del grupo | X | X | X | X | X | X |
| Configurar GPU virtual | X | X | ||||
| Visualización de la configuración de GPU virtual | X | X | X | X | X | X |
| Acceso a la unidad de configuración (solo máquinas virtuales CoreOS) | X | |||||
| Instantáneas programadas (agregar o quitar máquinas virtuales a las programaciones de instantáneas existentes) | X | X | X | |||
| Instantáneas programadas (agregar/modificar/eliminar programaciones de instantáneas) | X | X | ||||
| Recopilación de información diagnóstica | X | X | ||||
| Configurar el seguimiento de bloques modificados | X | X | X | X | ||
| Lista de bloques modificados | X | X | X | X | X | |
| Configurar PVS-Accelerator | X | X | ||||
| Ver la configuración de PVS-Accelerator | X | X | X | X | X | X |
Definiciones de permisos
Asignar/modificar roles:
- Agregar o quitar usuarios
- Agregar o quitar roles de los usuarios
- Habilitar y deshabilitar la integración de Active Directory (que se une al dominio)
Este permiso permite al usuario concederse a sí mismo cualquier permiso o realizar cualquier tarea.
Advertencia: Este rol permite al usuario deshabilitar la integración de Active Directory y todos los asuntos agregados desde Active Directory.
Inicie sesión en las consolas del servidor:
- Acceso a la consola del servidor a través de ssh
- Acceso a la consola del servidor a través de XenCenter
Advertencia: Con acceso a un shell raíz, el usuario asignado puede reconfigurar arbitrariamente todo el sistema, incluido RBAC.
Operaciones de creación/destrucción de máquinas virtuales de copia de seguridad/restauración del servidor:
- Copia de seguridad y restauración de servidores
- Copia de seguridad y restauración de metadatos del grupo
La capacidad de restaurar una copia de seguridad permite al usuario asignado revertir los cambios de configuración de RBAC.
Importar/exportar paquetes OVF/OVA e imágenes de disco:
- Importación de paquetes OVF y OVA
- Importar imágenes de disco
- Exportación de máquinas virtuales como paquetes OVF/OVA
Establecer núcleos por socket:
- Establezca el número de núcleos por socket para las CPU virtuales de la máquina virtual
Este permiso permite al usuario especificar la topología de las CPU virtuales de la máquina virtual.
Conversión de máquinas virtuales mediante el Administrador de conversiones:
- Convertir máquinas virtuales de VMware ESXi/vCenter en máquinas virtuales de Citrix Hypervisor
Este permiso permite al usuario convertir cargas de trabajo de VMware a Citrix Hypervisor copiando lotes de máquinas virtuales VMware ESXi/vCenter en el entorno de Citrix Hypervisor.
Bloqueo del puerto del conmutador:
- Controlar el tráfico en una red
Este permiso permite al usuario bloquear todo el tráfico de una red de forma predeterminada o definir direcciones IP específicas desde las que una máquina virtual puede enviar tráfico.
Múltiples rutas:
- Habilitación de múltiples rutas
- Deshabilitar múltiples rutas
Cerrar la sesión de las conexiones de usuario activas:
- Posibilidad de desconectar a los usuarios que han iniciado sesión
Crear/descartar alertas:
- Configurar XenCenter para generar alertas cuando el uso de recursos supere ciertos umbrales
- Eliminar alertas de la vista Alertas
Advertencia: Un usuario con este permiso puede descartar alertas para todo el grupo.
Nota: La capacidad de ver alertas forma parte del permiso Conectarse al grupo y leer todos los metadatos del grupo.
Cancelar tarea de cualquier usuario:
- Cancelar la tarea en ejecución de cualquier usuario
Este permiso permite al usuario solicitar a Citrix Hypervisor que cancele una tarea en curso iniciada por cualquier usuario.
Gestión de piscinas:
- Establecer las propiedades del grupo (nomenclatura, SR predeterminados)
- Creación de un grupo agrupado
- Habilite, deshabilite y configure la alta disponibilidad
- Establecimiento de prioridades de reinicio de alta disponibilidad por máquina virtual
- Configure la recuperación ante desastres y realice operaciones de conmutación por error, conmutación por recuperación y conmutación por error de prueba de recuperación ante desastres
- Habilite, deshabilite y configure el equilibrio de carga de trabajo (WLB)
- Agregar y quitar servidor del grupo
- Transición de emergencia a maestro
- Dirección maestra de emergencia
- Miembros del grupo de recuperación de emergencia
- Designar nuevo maestro
- Administrar certificados de grupo y servidor
- Parches
- Establecer las propiedades del servidor
- Configurar el registro del servidor
- Habilitar y deshabilitar servidores
- Apagar, reiniciar y encender servidores
- Reiniciar la pila de herramientas
- Informes de estado del sistema
- Solicitar licencia
- Migración en vivo de todas las demás máquinas virtuales de un servidor a otro servidor, debido al modo de mantenimiento o a la alta disponibilidad
- Configurar la interfaz de administración del servidor y las interfaces secundarias
- Deshabilitar la administración del servidor
- Eliminación de volcados de memoria
- Agregar, editar y eliminar redes
- Agregue, edite y elimine PBD/PIF/VLAN/Bonds/SR
- Agregar, quitar y recuperar secretos
Este permiso incluye todas las acciones necesarias para mantener un grupo.
Nota: Si la interfaz de administración no funciona, ningún inicio de sesión puede autenticarse, excepto los inicios de sesión raíz locales.
Migración en vivo:
- Migración de máquinas virtuales de un host a otro host cuando las máquinas virtuales están en almacenamiento compartido por ambos hosts
Migración en vivo de almacenamiento:
- Migrar de un host a otro host cuando las máquinas virtuales no están en el almacenamiento compartido entre los dos hosts
- Mover discos virtuales (VDI) de un SR a otro SR
Operaciones avanzadas de VM:
- Ajuste de la memoria de la máquina virtual (a través del control dinámico de memoria)
- Creación de una instantánea de máquina virtual con memoria, toma de instantáneas de máquina virtual y reversión de máquinas virtuales
- Migración de máquinas virtuales
- Iniciar máquinas virtuales, incluida la especificación del servidor físico
- Reanudar máquinas virtuales
Este permiso proporciona al usuario asignado suficientes privilegios para iniciar una máquina virtual en un servidor diferente si no está satisfecho con el servidor Citrix Hypervisor seleccionado.
Operaciones de creación/destrucción de máquinas virtuales:
- Instalar o eliminar
- Clonar o copiar máquinas virtuales
- Agregar, quitar y configurar dispositivos de disco virtual/CD
- Agregar, quitar y configurar dispositivos de red virtual
- Importar/exportar archivos XVA
- Cambio en la configuración de la máquina virtual
- Copia de seguridad/restauración del servidor
Cambiar el medio de CD de la máquina virtual:
- Expulsar CD actual
- Insertar nuevo CD
Importación/exportación de paquetes OVF/OVA; Importar imágenes de disco
Cambiar el estado de energía de la máquina virtual:
- Iniciar máquinas virtuales (ubicación automática)
- Apagar las máquinas virtuales
- Reiniciar máquinas virtuales
- Suspensión de máquinas virtuales
- Reanudar máquinas virtuales (colocación automática)
Este permiso no incluye start_on, resume_on y migrar, que forman parte del permiso de operaciones avanzadas de máquina virtual.
Ver consolas de VM:
- Visualización e interacción con consolas de máquinas virtuales
Este permiso no permite al usuario ver las consolas del servidor.
vApps (Agregar/Modificar/Eliminar vApps):
- Creación de una vApp
- Eliminar una vApp
- Cambiar las propiedades de una vApp
vApps (Iniciar/Apagar vApps):
- Iniciar una vApp
- Apagar una vApp
vApps (agregar o quitar máquinas virtuales a una vApp existente):
- Agregue una máquina virtual a una vApp.
- Eliminación de una máquina virtual de una vApp
vApps (Ver vApps):
- Ver vApps en el grupo
Operaciones de administración de vistas de XenCenter:
- Creación y modificación de carpetas globales de XenCenter
- Creación y modificación de campos personalizados globales de XenCenter
- Crear y modificar búsquedas globales de XenCenter
Las carpetas, los campos personalizados y las búsquedas se comparten entre todos los usuarios que acceden al grupo
Cancelar tareas propias:
- Permite a un usuario cancelar sus propias tareas
Leer el registro de auditoría:
- Descargar el registro de auditoría de Citrix Hypervisor
Conéctese al grupo y lea todos los metadatos del grupo:
- Iniciar sesión en el grupo
- Visualización de metadatos del grupo
- Ver datos históricos de rendimiento
- Ver usuarios registrados
- Visualización de usuarios y roles
- Ver mensajes
- Regístrese y reciba eventos
Configurar GPU virtual:
- Especificar una política de selección de ubicación para todo el grupo
- Asignación de una GPU virtual a una máquina virtual
- Quitar una GPU virtual de una máquina virtual
- Modificar los tipos de GPU virtuales permitidos
- Crear, destruir o asignar un grupo de GPU
Ver la configuración de GPU virtual:
- Vea las GPU, las políticas de ubicación de GPU y las asignaciones de GPU virtuales
Acceda a la unidad de configuración (solo máquinas virtuales CoreOS):
- Acceso al controlador de configuración de la máquina virtual
Instantáneas programadas:
- Adición de máquinas virtuales a programaciones de instantáneas existentes
- Eliminación de máquinas virtuales de las programaciones de instantáneas existentes
- Adición de programaciones de instantáneas
- Modificación de programaciones de instantáneas
- Eliminación de programaciones de instantáneas
Recopilar información de diagnóstico de Citrix Hypervisor:
- Iniciar la recolección de GC y la compactación de pilas
- Recopilación de estadísticas de recolección de elementos no utilizados
- Recopilación de estadísticas de la base de datos
- Recopilación de estadísticas de red
Configurar el seguimiento de bloques modificados:
- Habilitar el seguimiento de bloques modificados
- Deshabilitar el seguimiento de bloques modificados
- Destruya los datos asociados a una instantánea y conserve los metadatos
- Obtener la información de conexión NBD para una VDI
El seguimiento de bloques modificados solo se puede habilitar para instancias con licencia de Citrix Hypervisor Premium Edition.
Lista de bloques modificados:
- Compare dos instantáneas de VDI y enumere los bloques que han cambiado entre ellas
Configurar PVS-Accelerator:
- Habilitar PVS-Accelerator
- Desactivar PVS-Accelerator
- Actualización de la configuración de caché (PVS-Accelerator)
- Configuración de caché Agregar/Quitar (PVS-Accelerator)
Ver la configuración del PVS-Accelerator:
- Ver el estado de PVS-Accelerator
Nota: No
A veces, un usuario de solo lectura no puede mover un recurso a una carpeta en XenCenter, incluso después de recibir un mensaje de elevación y proporcionar las credenciales de un usuario con más privilegios. En este caso, inicie sesión en XenCenter como el usuario con más privilegios y vuelva a intentar la acción.
¿Cómo calcula Citrix Hypervisor las funciones de la sesión?
-
El sujeto se autentica a través del servidor de Active Directory para verificar a qué grupos contenedores, el sujeto también puede pertenecer.
-
A continuación, Citrix Hypervisor verifica qué funciones se han asignado tanto al asunto como a los grupos que lo contienen.
-
Como los sujetos pueden ser miembros de varios grupos de Active Directory, heredan todos los permisos de los roles asociados.
