Funciones y permisos de RBAC
Roles
Citrix Hypervisor se entrega con las siguientes seis funciones preestablecidas:
-
Administrador de grupos (administrador de grupos): igual que la raíz local. Puede realizar todas las operaciones.
Nota:
El superusuario local (root) tiene la función de “Administrador del grupo”. La función de administrador del grupo tiene los mismos permisos que la raíz local.
Si elimina la función de administrador del grupo de un usuario, considere también cambiar la contraseña raíz del servidor y rotar el secreto del grupo. Para obtener más información, consulte Seguridad de la agrupación.
-
Operador de Agrupación (Operador de Agrupación): Puede hacer todo aparte de agregar/eliminar usuarios y cambiar sus roles. Esta función se centra principalmente en la administración de hosts y grupos (es decir, crear almacenamiento, crear grupos, administrar los hosts, etc.).
-
Virtual Machine Power Administrator (VM Power Admin): crea y administra máquinas virtuales. Esta función se centra en aprovisionar máquinas virtuales para que las use un operador de VM.
-
Administrador de máquinas virtuales (administrador de VM): similar a un administrador de energía de VM, pero no puede migrar máquinas virtuales ni realizar instantáneas.
-
Operador de máquina virtual (operador de VM), similar al administrador de VM, pero no puede crear/destruir máquinas virtuales, pero puede realizar operaciones de ciclo de vida de inicio/detención.
-
Solo lectura (solo lectura): puede ver el grupo de recursos y los datos de rendimiento.
Advertencia:
Cuando se usan grupos de Active Directory para conceder acceso a los usuarios del administrador de grupos que requieren acceso ssh de host, el número de usuarios en el grupo de Active Directory no debe superar los 500.
Para obtener un resumen de los permisos disponibles para cada rol y para obtener información sobre las operaciones disponibles para cada permiso, consulte Definiciones de roles y permisos de RBAC en la siguiente sección.
Cuando crea un usuario en Citrix Hypervisor, primero debe asignar una función al usuario recién creado antes de que pueda usar la cuenta. Citrix Hypervisor no asigna automáticamente una función al usuario recién creado. Como resultado, estas cuentas no tienen acceso al grupo de Citrix Hypervisor hasta que se les asigna una función.
-
Modificar el tema a la asignación de roles. Esto requiere el permiso de asignar/modificar rol, que solo está disponible para un administrador del grupo.
-
Modifique la pertenencia al grupo que contiene el usuario en Active Directory.
Definiciones de roles y permisos de RBAC
En la siguiente tabla se resumen los permisos disponibles para cada función. Para obtener detalles sobre las operaciones disponibles para cada permiso, consulte Definiciones de permisos.
Permisos de roles | Administrador del grupo | Operador de grupo | Administrador de energía de VM | Administrador de VM | Operador de VM | Solo lectura |
---|---|---|---|---|---|---|
Asignar/modificar funciones | X | |||||
Inicie sesión en consolas de servidor (físicas) (a través de SSH y XenCenter) | X | |||||
Backup/restore de servidores | X | |||||
Importar paquetes OVF/OVA; importar imágenes de disco | X | |||||
Importar paquetes XVA | X | X | X | |||
Exportar paquetes OVF/OVA | X | |||||
Exportar paquetes XVA | X | X | X | |||
Establecer núcleos por zócalo | X | X | X | X | ||
Convierta máquinas virtuales con XenServer Conversion Manager | X | |||||
Bloqueo del puerto del conmutador | X | X | ||||
Múltiples rutas | X | X | ||||
Cerrar sesión en las conexiones de usuario activas | X | X | ||||
Crear y descartar alertas | X | X | ||||
Cancelar la tarea de cualquier usuario | X | X | ||||
Administración de grupo | X | X | ||||
Migración en vivo | X | X | X | |||
Migración en vivo de | X | X | X | |||
Operaciones avanzadas de VM | X | X | X | |||
Operaciones de creación/destrucción de VM | X | X | X | X | ||
Medios de CD de cambio de VM | X | X | X | X | X | |
Cambio de estado de energía de VM | X | X | X | X | X | |
Ver consolas de VM | X | X | X | X | X | |
Operaciones de administración de vistas de XenCenter | X | X | X | X | X | |
Cancelar tareas propias | X | X | X | X | X | X |
Leer registros de auditoría | X | X | X | X | X | X |
Conéctese al grupo y lea todos los metadatos del grupo | X | X | X | X | X | X |
Configurar la GPU virtual | X | X | ||||
Ver la configuración de GPU virtual | X | X | X | X | X | X |
Acceder a la unidad de configuración (solo máquinas virtuales CoreOS) | X | |||||
Instantáneas programadas (agregar/quitar máquinas virtuales a programaciones de instantáneas existentes) | X | X | X | |||
Instantáneas programadas (agregar/modificar/eliminar programaciones de instantáneas) | X | X | ||||
Recopilar información de diagnóstico | X | X | ||||
Configurar el seguimiento de bloques cambiados | X | X | X | X | ||
Listar bloques cambiados | X | X | X | X | X | |
Configurar PVS-Accelerator | X | X | ||||
Ver la configuración del acelerador PVS | X | X | X | X | X | X |
Definiciones de permisos
Asignar/modificar funciones:
- Agregar/eliminar usuarios
- Agregar o quitar roles de los usuarios
- Habilitar y inhabilitar la integración de Active Directory (unirse al dominio)
Este permiso permite al usuario concederse a sí mismo cualquier permiso o realizar cualquier tarea.
Advertencia: Esta función permite al usuario inhabilitar la integración de Active Directory y todos los temas agregados desde Active Directory.
Inicie sesión en las consolas del servidor:
- Acceso a la consola del servidor mediante ssh
- Acceso a la consola del servidor mediante XenCenter
Advertencia: Con acceso a un shell raíz, la persona asignada puede reconfigurar arbitrariamente todo el sistema, incluido el RBAC.
Operaciones de creación/destrucción de VM de copia de seguridad/restauración de servidores:
- Realizar copias de seguridad y restaurar servidores
- Realizar copias de seguridad y restaurar metadatos de grupos
La capacidad de restaurar una copia de seguridad permite a la persona asignada revertir los cambios de configuración de RBAC.
Importar/exportar paquetes OVF/OVA e imágenes de disco:
- Importar paquetes OVF y OVA
- Importar imágenes de disco
- Exportación de máquinas virtuales como paquetes OVF/OVA
Establecer núcleos por zócalo:
- Establecer la cantidad de núcleos por socket para las CPU virtuales de la VM
Este permiso permite al usuario especificar la topología de las CPU virtuales de la VM.
Convierta máquinas virtuales mediante XenServer Conversion Manager (anteriormente Citrix Hypervisor Conversion Manager):
- Convertir máquinas virtuales VMware ESXi/vCenter en máquinas virtuales de Citrix Hypervisor
Este permiso permite al usuario convertir cargas de trabajo de VMware a Citrix Hypervisor copiando lotes de máquinas virtuales VMware ESXi/vCenter al entorno Citrix Hypervisor.
Bloqueo del puerto del conmutador:
- Controlar el tráfico en una red
Este permiso permite al usuario bloquear todo el tráfico en una red de forma predeterminada o definir direcciones IP específicas desde las que una máquina virtual puede enviar tráfico.
Rutas múltiples:
- Habilitar multipathing
- Inhabilitar rutas múltiples
Cerrar sesión en las conexiones de usuario activas:
- Posibilidad de desconectar a los usuarios que han
Crear/descartar alertas:
- Configurar XenCenter para que genere alertas cuando el uso de recursos supere ciertos umbrales
- Eliminar alertas de la vista Alertas
Advertencia: un usuario con este permiso puede descartar las alertas de todo el grupo.
Nota: La capacidad de ver alertas forma parte del permiso Conectarse al grupo y leer todos los metadatos del grupo.
Cancela la tarea de cualquier usuario:
- Cancelar la tarea en ejecución de cualquier usuario
Este permiso permite al usuario solicitar a Citrix Hypervisor que cancele una tarea en curso iniciada por cualquier usuario.
Gestión de agrupaciones:
- Establecer las propiedades del grupo (nombre, SR predeterminados)
- Crea un grupo agrupado
- Habilitar, inhabilitar y configurar la alta disponibilidad
- Establecer prioridades de reinicio de alta disponibilidad por VM
- Configurar DR y realizar operaciones de conmutación por error, conmutación por recuperación y conmutación por error de prueba de DR
- Habilitar, inhabilitar y configurar el equilibrio de carga de trabajo (WLB)
- Agregar y quitar el servidor del grupo
- Transición de emergencia a master
- Dirección maestra de emergencias
- Miembros del grupo de recuperación de emergencia
- Designar nuevo maestro
- Administrar certificados de grupos y servidores
- Aplicación de parches
- Establecer las propiedades del servidor
- Configurar el registro del servidor
- Habilitar y inhabilitar servidores
- Apagar, reiniciar y encender los servidores
- Reiniciar toolstack
- Informes de estado del sistema
- Solicitar licencia
- Migración en vivo de todas las demás máquinas virtuales de un servidor a otro servidor, debido al modo de mantenimiento o a la alta disponibilidad
- Configurar la interfaz de administración del servidor y las interfaces secundarias
- Desactivar la administración de
- Eliminar volcados de memoria
- Agregar, modificar y eliminar redes
- Agregar, modificar y eliminar PBDS/PIFS/VLAN/Bonds/SRS
- Agregar, eliminar y recuperar secretos
Este permiso incluye todas las acciones necesarias para mantener un grupo.
Nota: Si la interfaz de administración no funciona, ningún inicio de sesión puede autenticarse, excepto los inicios de sesión raíz locales.
Migración en vivo:
- Migrar máquinas virtuales de un host a otro cuando las máquinas virtuales estén en almacenamiento compartido por ambos hosts
Migración de almacenamiento en vivo:
- Migrar de un host a otro host cuando las VM no estén en el almacenamiento compartido entre los dos hosts
- Mover disco vDisk (VDI) de un SR a otro SR
Operaciones avanzadas de VM:
- Ajuste de la memoria de la VM (mediante el control dinámico de memoria)
- Cree una instantánea de VM con memoria, tome instantáneas de VM y deshaga las VM
- Migrar máquinas virtuales
- Iniciar máquinas virtuales, incluida la especificación del servidor físico
- Reanudar VM
Este permiso proporciona a la persona asignada suficientes privilegios para iniciar una máquina virtual en un servidor diferente si no está satisfecho con el servidor de Citrix Hypervisor seleccionado.
Operaciones de creación/destrucción de VM:
- Instalar o eliminar
- Clonar/copiar máquinas virtuales
- Agregar, quitar y configurar dispositivos de disco vDisk/CD
- Agregar, eliminar y configurar dispositivos de red virtuales
- Importación/exportación de archivos XVA
- Cambio de configuración de VM
- Backup/restore de servidores
CD de cambio de VM:
- Expulsar el CD actual
- Insertar CD nuevo
Importación/exportación de paquetes OVF/OVA; importación de imágenes de disco
Cambio de estado de energía de VM:
- Iniciar máquinas virtuales (colocación automática)
- Apagar máquinas virtuales
- Reiniciar máquinas virtuales
- Suspender máquinas virtuales
- Reanudar máquinas virtuales (colocación automática)
Este permiso no incluye start_on, resume_on y migrate, que forman parte del permiso de operaciones avanzadas de VM.
Ver consolas de VM:
- Vea e interactúe con consolas de VM
Este permiso no permite que el usuario vea las consolas del servidor.
Operaciones de administración de vistas de XenCenter:
- Crear y modificar carpetas globales de XenCenter
- Crear y modificar campos personalizados globales de XenCenter
- Crear y modificar búsquedas globales de XenCenter
Las carpetas, los campos personalizados y las búsquedas se comparten entre todos los usuarios que acceden al grupo
Cancelar tareas propias:
- Permite a un usuario cancelar sus propias tareas
Lea el registro de auditoría:
- Descargue el registro de auditoría de Citrix Hypervisor
Conéctese al grupo y lea todos los metadatos del grupo:
- Inicie sesión en la agrupación
- Ver metadatos del grupo
- Ver datos de rendimiento históricos
- Ver los usuarios que han iniciado sesión
- Ver usuarios y roles
- Ver mensajes
- Regístrese y reciba eventos
Configurar la GPU virtual:
- Especificar una directiva de ubicación para todo el grupo
- Asignar una GPU virtual a una VM
- Eliminar una GPU virtual de una VM
- Modificar los tipos de GPU virtuales permitidos
- Crear, destruir o asignar un grupo de GPU
Ver la configuración de GPU virtual:
- Ver GPU, directivas de ubicación de GPU y asignaciones de GPU virtuales
Acceda a la unidad de configuración (solo máquinas virtuales CoreOS):
- Acceder al controlador de configuración de la VM
Instantáneas programadas:
- Agregar máquinas virtuales a las programaciones de instantáneas existentes
- Eliminar las máquinas virtuales de las programaciones de instantáneas existentes
- Agregar programaciones de instantáneas
- Modificar programas de instantáneas
- Eliminar programaciones de instantáneas
Recopile información de diagnóstico de Citrix Hypervisor:
- Iniciar la recolección de GC y la compactación del montón
- Recopilar estadísticas de recolección de basura
- Recopilar estadísticas de bases
- Recopilar estadísticas de red
Configurar el seguimiento de bloques modificados:
- Habilitar el seguimiento de bloques modificados
- Desactivar el seguimiento de bloques modificados
- Destruya los datos asociados a una instantánea y conserve los metadatos
- Obtener la información de conexión NBD para una VDI
El seguimiento de bloques modificados solo se puede habilitar para instancias con licencia de Citrix Hypervisor Premium Edition.
Lista de bloques cambiados:
- Compare dos instantáneas de VDI y enumere los bloques que han cambiado entre ellas
Configurar PVS-Accelerator:
- Habilitar PVS-Accelerator
- Inhabilitar PVS-Accelerator
- Configuración de caché de actualización (PVS-Accelerator)
- Agregar o quitar configuración de caché (acelerador PVS)
Ver la configuración del acelerador PVS:
- Ver el estado de PVS-Accelerator
Nota:
A veces, un usuario de solo lectura no puede mover un recurso a una carpeta en XenCenter, incluso después de recibir una solicitud de elevación y proporcionar las credenciales de un usuario con más privilegios. En este caso, inicie sesión en XenCenter como el usuario más privilegiado y vuelva a intentar la acción.
¿Cómo calcula Citrix Hypervisor las funciones de la sesión?
-
El sujeto se autentica a través del servidor de Active Directory para comprobar a qué grupos contendientes puede pertenecer también el sujeto.
-
A continuación, Citrix Hypervisor verifica qué roles se han asignado tanto al sujeto como a los grupos que los contienen.
-
Como los sujetos pueden ser miembros de varios grupos de Active Directory, heredan todos los permisos de las funciones asociadas.