Rôles et autorisations RBAC
Important :
La mise à jour cumulative 1 de Citrix Hypervisor 8.2 prend fin le 25 juin 2025. Planifiez votre mise à niveau vers XenServer 8 dès maintenant pour assurer une transition en douceur et un support continu. Pour plus d’informations, consultez Mise à niveau.
Si vous utilisez vos fichiers de licence Citrix Virtual Apps and Desktops pour obtenir une licence pour vos hôtes Citrix Hypervisor 8.2 Cumulative Update 1, ces fichiers de licence ne sont pas compatibles avec XenServer 8. Avant la mise à niveau, vous devez acquérir les fichiers de licence socket XenServer Premium Edition à utiliser avec XenServer 8. Ces fichiers de licence de socket sont disponibles en tant que droits des abonnements Citrix pour le cloud privé, Citrix Universal Hybrid Multi-Cloud, Citrix Universal MSP et Citrix Platform License pour l’exécution de vos charges de travail Citrix. Les clients Citrix qui n’ont pas encore migré vers ces nouveaux abonnements peuvent demander à participer à une promotion gratuite pour 10 000 licences de sockets XenServer Premium Edition. Pour plus d’informations, consultez XenServer.
Si vous n’obtenez pas de licence compatible pour XenServer 8 avant la mise à niveau, lorsque vous mettez à niveau vos hôtes, ils reviennent à l’édition d’essai de 90 jours. L’édition d’essai offre les mêmes fonctionnalités que l’édition Premium, avec quelques limitations. Pour plus d’informations, consultez Présentation des licences XenServer 8.
Rôles
Citrix Hypervisor est livré avec les six rôles préétablis suivants :
-
Administrateur de pool (Pool Admin) – identique à la racine locale. Peut effectuer toutes les opérations.
Remarque :
Le super utilisateur local (root) a le rôle « Admin de pool ». Le rôle Administrateur de pool dispose des mêmes autorisations que la racine locale.
Si vous supprimez le rôle Administrateur de pool d’un utilisateur, envisagez également de modifier le mot de passe racine du serveur et de faire pivoter le secret du pool. Pour plus d’informations, consultez Sécurité de la piscine.
-
Exploitant de piscine (Opérateur de pool) – peut tout faire sauf ajouter/supprimer des utilisateurs et modifier leurs rôles. Ce rôle est principalement axé sur la gestion des hôtes et des pools (c’est-à-dire la création de stockage, la création de pools, la gestion des hôtes, etc.).
-
Administrateur d’alimentation de machine virtuelle (VM Power Admin) : crée et gère des machines virtuelles. Ce rôle est axé sur l’approvisionnement de machines virtuelles à l’usage d’un opérateur de machine virtuelle.
-
Administrateur de machine virtuelle (Administrateur de machine virtuelle) : similaire à un Power Admin de machine virtuelle, mais ne peut pas migrer des machines virtuelles ou effectuer des instantanés.
-
Opérateur de machine virtuelle (Opérateur de machine virtuelle) : similaire à l’administrateur de machine virtuelle, mais ne peut pas créer/détruire de machines virtuelles, mais peut effectuer des opérations de démarrage/arrêt du cycle de vie.
-
Lecture seule (Lecture seule) : permet d’afficher le pool de ressources et les données de performances.
Avertissement :
Lors de l’utilisation de groupes Active Directory pour accorder l’accès aux utilisateurs de l’administrateur de pool qui ont besoin d’un accès ssh à l’hôte, le nombre d’utilisateurs dans le groupe Active Directory ne doit pas dépasser 500.
Pour obtenir un résumé des autorisations disponibles pour chaque rôle et des informations sur les opérations disponibles pour chaque autorisation, consultez Définitions des rôles et des autorisations RBAC dans la section suivante.
Lorsque vous créez un utilisateur dans Citrix Hypervisor, vous devez d’abord attribuer un rôle à l’utilisateur nouvellement créé avant qu’il puisse utiliser le compte. Hyperviseur Citrix ne le fait pas Attribuez automatiquement un rôle à l’utilisateur nouvellement créé. Par conséquent, ces comptes n’ont aucun accès au pool Citrix Hypervisor tant que vous ne leur avez pas attribué un rôle.
-
Modifiez l’objet du mappage de rôle. Cela nécessite l’autorisation d’attribuer/modifier le rôle, disponible uniquement pour un administrateur de pool.
-
Modifiez l’appartenance au groupe contenant l’utilisateur dans Active Directory.
Définitions des rôles et des autorisations RBAC
Le tableau suivant récapitule les autorisations disponibles pour chaque rôle. Pour plus d’informations sur les opérations disponibles pour chaque autorisation, consultez Définitions des autorisations.
| Autorisations de rôle | Administrateur de piscine | Opérateur de pool | Administrateur d’alimentation de VM | Administrateur de machine virtuelle | Opérateur de machine virtuelle | Lecture seule |
|---|---|---|---|---|---|---|
| Attribuer/modifier des rôles | X | |||||
| Connectez-vous aux consoles de serveur (physiques) (via SSH et XenCenter) | X | |||||
| Sauvegarde/restauration du serveur | X | |||||
| Importer des packages OVF/OVA ; Importer des images disque | X | |||||
| Importer des packages XVA | X | X | X | |||
| Exporter des packages OVF/OVA | X | |||||
| Exporter des packages XVA | X | X | X | |||
| Définir les cœurs par socket | X | X | X | X | ||
| Convertir des machines virtuelles à l’aide du Gestionnaire de conversions | X | |||||
| Verrouillage de l’orifice de commutation | X | X | ||||
| Chemins d’accès multiples | X | X | ||||
| Déconnexion des connexions des utilisateurs actifs | X | X | ||||
| Créer et ignorer des alertes | X | X | ||||
| Annuler la tâche de n’importe quel utilisateur | X | X | ||||
| Gestion de piscine | X | X | ||||
| Migration en direct | X | X | X | |||
| Migration dynamique du stockage | X | X | X | |||
| Opérations avancées de VM | X | X | X | |||
| Opérations de création/destruction de machines virtuelles | X | X | X | X | ||
| Changer de support de CD de machine virtuelle | X | X | X | X | X | |
| Modification de l’état d’alimentation de la machine virtuelle | X | X | X | X | X | |
| Afficher les consoles VM | X | X | X | X | X | |
| vApps (Ajouter/Modifier/Supprimer des vApps) | X | X | ||||
| vApps (Démarrer/Arrêter les vApps) | X | X | ||||
| vApps (ajouter/supprimer des machines virtuelles à un vApp existant) | X | X | ||||
| vApps (Afficher les vApps) | X | X | X | X | X | X |
| Opérations de gestion des vues XenCenter | X | X | X | X | X | |
| Annuler ses propres tâches | X | X | X | X | X | X |
| Lire les journaux d’audit | X | X | X | X | X | X |
| Se connecter au pool et lire toutes les métadonnées du pool | X | X | X | X | X | X |
| Configurer le GPU virtuel | X | X | ||||
| Afficher la configuration du GPU virtuel | X | X | X | X | X | X |
| Accéder au lecteur de configuration (machines virtuelles CoreOS uniquement) | X | |||||
| Instantanés planifiés (ajout/suppression de machines virtuelles à des planifications d’instantanés existantes) | X | X | X | |||
| Instantanés planifiés (Ajouter/Modifier/Supprimer des planifications d’instantanés) | X | X | ||||
| Collecte d’informations de diagnostic | X | X | ||||
| Configurer le suivi des blocs modifiés | X | X | X | X | ||
| Répertorier les blocs modifiés | X | X | X | X | X | |
| Configurer PVS-Accelerator | X | X | ||||
| Voir la configuration de PVS-Accelerator | X | X | X | X | X | X |
Définitions des autorisations
Attribuer/modifier des rôles :
- Ajouter/supprimer des utilisateurs
- Ajouter/supprimer des rôles d’utilisateurs
- Activer et désactiver l’intégration d’Active Directory (joint au domaine)
Cette autorisation permet à l’utilisateur de s’accorder n’importe quelle autorisation ou d’effectuer n’importe quelle tâche.
Avertissement : Ce rôle permet à l’utilisateur de désactiver l’intégration d’Active Directory et tous les sujets ajoutés à partir d’Active Directory.
Connectez-vous aux consoles du serveur :
- Accès à la console du serveur via ssh
- Accès à la console du serveur via XenCenter
Avertissement : Avec l’accès à un shell racine, l’assigné peut reconfigurer arbitrairement l’ensemble du système, y compris RBAC.
Opérations de sauvegarde/restauration de VM de sauvegarde ou de restauration de serveur :
- Sauvegarder et restaurer les serveurs
- Sauvegarder et restaurer les métadonnées du pool
La possibilité de restaurer une sauvegarde permet à la personne assignée d’annuler les modifications de configuration RBAC.
Import/export de packages OVF/OVA et d’images disque :
- Importer des packages OVF et OVA
- Importer des images disque
- Exporter des machines virtuelles sous forme de packages OVF/OVA
Définir le nombre de cœurs par socket :
- Définir le nombre de cœurs par socket pour les processeurs virtuels de la machine virtuelle
Cette autorisation permet à l’utilisateur de spécifier la topologie des processeurs virtuels de la machine virtuelle.
Convertir des machines virtuelles à l’aide du Gestionnaire de conversion :
- Convertir des machines virtuelles VMware ESXi/vCenter en machines virtuelles Citrix Hypervisor
Cette autorisation permet à l’utilisateur de convertir des charges de travail de VMware vers Citrix Hypervisor en copiant des lots de machines virtuelles VMware ESXi/vCenter dans l’environnement Citrix Hypervisor.
Verrouillage du port de commutation :
- Contrôler le trafic sur un réseau
Cette autorisation permet à l’utilisateur de bloquer tout le trafic sur un réseau par défaut ou de définir des adresses IP spécifiques à partir desquelles une machine virtuelle est autorisée à envoyer du trafic.
Multipathing :
- Activer le multipathing
- Désactiver le multipathing
Déconnectez-vous des connexions des utilisateurs actifs :
- Possibilité de déconnecter les utilisateurs connectés
Créer/ignorer des alertes :
- Configurer XenCenter pour générer des alertes lorsque l’utilisation des ressources dépasse certains seuils
- Supprimer des alertes de la vue Alertes
Avertissement : Un utilisateur disposant de cette autorisation peut ignorer les alertes pour l’ensemble du pool.
Remarque : La possibilité d’afficher les alertes fait partie de l’autorisation Se connecter au pool et lire toutes les métadonnées du pool.
Tâche d’annulation de n’importe quel utilisateur :
- Annuler la tâche en cours d’exécution d’un utilisateur
Cette autorisation permet à l’utilisateur de demander à Citrix Hypervisor d’annuler une tâche en cours initiée par n’importe quel utilisateur.
Gestion de la piscine :
- Définir les propriétés du pool (nommage, SR par défaut)
- Créer un pool en cluster
- Activer, désactiver et configurer la haute disponibilité
- Définir les priorités de redémarrage de la haute disponibilité par machine virtuelle
- Configurer la récupération d’urgence et effectuer des opérations de basculement, de restauration automatique et de test de basculement
- Activer, désactiver et configurer l’équilibrage de la charge de travail (WLB)
- Ajouter et supprimer un serveur du pool
- Transition d’urgence vers le master
- Adresse principale d’urgence
- Récupération d’urgence des membres de la piscine
- Désigner un nouveau master
- Gérer les certificats de pool et de serveur
- Rapiéçage
- Définir les propriétés du serveur
- Configurer la journalisation du serveur
- Activer et désactiver les serveurs
- Arrêt, redémarrage et mise sous tension des serveurs
- Redémarrer la pile d’outils
- Rapports sur l’état du système
- Appliquer une licence
- Migration en direct de toutes les autres machines virtuelles d’un serveur vers un autre serveur, en raison du mode de maintenance ou de la haute disponibilité
- Configurer l’interface de gestion de serveur et les interfaces secondaires
- Désactiver la gestion du serveur
- Supprimer les crashdumps
- Ajouter, modifier et supprimer des réseaux
- Ajouter, modifier et supprimer des PBD/PIF/VLAN/Bonds/SR
- Ajouter, supprimer et récupérer des secrets
Cette autorisation inclut toutes les actions requises pour gérer un pool.
Remarque : Si l’interface de gestion ne fonctionne pas, aucune connexion ne peut s’authentifier, à l’exception des connexions racines locales.
Migration en direct :
- Migrer des machines virtuelles d’un hôte vers un autre lorsque les machines virtuelles se trouvent sur un stockage partagé par les deux hôtes
Migration en direct du stockage :
- Migrer d’un hôte vers un autre lorsque les machines virtuelles ne se trouvent pas sur le stockage partagé entre les deux hôtes
- Déplacer des disques virtuels (VDI) d’un SR à un autre SR
Opérations avancées de la machine virtuelle :
- Ajuster la mémoire de la machine virtuelle (via le contrôle dynamique de la mémoire)
- Créez un instantané de machine virtuelle avec de la mémoire, prenez des instantanés de machine virtuelle et restaurez des machines virtuelles
- Migrer des machines virtuelles
- Démarrer des machines virtuelles, y compris la spécification d’un serveur physique
- Reprendre les machines virtuelles
Cette autorisation fournit à la personne assignée des privilèges suffisants pour démarrer une machine virtuelle sur un autre serveur si elle n’est pas satisfaite du serveur Citrix Hypervisor sélectionné.
Opérations de création/destruction de VM :
- Installer ou supprimer
- Cloner/copier des machines virtuelles
- Ajouter, supprimer et configurer des disques virtuels/CD
- Ajouter, supprimer et configurer des périphériques de réseau virtuel
- Importer/exporter des fichiers XVA
- Modification de la configuration de la machine virtuelle
- Sauvegarde/restauration du serveur
Support CD de changement de VM :
- Éjecter le CD actuel
- Insérer un nouveau CD
Importer/exporter des packages OVF/OVA ; Importer des images disque
Modification de l’état d’alimentation de la machine virtuelle :
- Démarrer des machines virtuelles (placement automatique)
- Arrêter les machines virtuelles
- Redémarrer les machines virtuelles
- Suspendre des machines virtuelles
- Reprendre les machines virtuelles (placement automatique)
Cette autorisation n’inclut pas start_on, resume_on et migrer, qui font partie de l’autorisation Opérations avancées de machine virtuelle.
Afficher les consoles VM :
- Afficher et interagir avec les consoles de machine virtuelle
Cette autorisation ne permet pas à l’utilisateur d’afficher les consoles du serveur.
vApps (Ajouter/Modifier/Supprimer des vApps) :
- Créer un vApp
- Supprimer un vApp
- Modifier les propriétés d’un vApp
vApps (démarrer/arrêter les vApps) :
- Démarrer un vApp
- Arrêt d’un vApp
vApps (Ajouter/Supprimer des machines virtuelles à un vApp existant) :
- Ajouter une machine virtuelle à un vApp.
- Supprimer une machine virtuelle d’un vApp
vApps (Afficher les vApps) :
- Afficher les vApps dans le pool
Opérations de gestion des vues XenCenter :
- Création et modification de dossiers XenCenter globaux
- Créer et modifier des champs personnalisés XenCenter globaux
- Créer et modifier des recherches globales XenCenter
Les dossiers, les champs personnalisés et les recherches sont partagés entre tous les utilisateurs qui accèdent au pool
Annuler vos propres tâches :
- Permet à un utilisateur d’annuler ses propres tâches
Lire le journal d’audit :
- Télécharger le journal d’audit de Citrix Hypervisor
Connectez-vous au pool et lisez toutes les métadonnées du pool :
- Se connecter au pool
- Afficher les métadonnées du pool
- Afficher les données de performances historiques
- Afficher les utilisateurs connectés
- Afficher les utilisateurs et les rôles
- Afficher les messages
- Inscrivez-vous et recevez des événements
Configurer le GPU virtuel :
- Spécifier une stratégie de placement à l’échelle du pool
- Attribuer un GPU virtuel à une machine virtuelle
- Supprimer un GPU virtuel d’une machine virtuelle
- Modifier les types de GPU virtuels autorisés
- Créer, détruire ou attribuer un groupe de GPU
Voir la configuration du GPU virtuel :
- Afficher les GPU, les politiques de placement des GPU et les attributions de GPU virtuels
Accédez au lecteur de configuration (machines virtuelles CoreOS uniquement) :
- Accéder au pilote de configuration de la machine virtuelle
Instantanés planifiés :
- Ajouter des machines virtuelles à des planifications de snapshots existantes
- Supprimer des machines virtuelles de planifications de snapshots existantes
- Ajouter des planifications d’instantanés
- Modifier les planifications d’instantanés
- Supprimer les planifications d’instantanés
Collectez des informations de diagnostic à partir de Citrix Hypervisor :
- Lancement de la collecte GC et du compactage du tas
- Collecter les statistiques de nettoyage de la mémoire
- Collecter les statistiques de la base de données
- Collecte de statistiques réseau
Configurer le suivi des blocs modifiés :
- Activer le suivi des blocs modifiés
- Désactiver le suivi des blocs modifiés
- Détruisez les données associées à un instantané et conservez les métadonnées
- Obtenir les informations de connexion NBD pour une VDI
Le suivi des blocs modifiés ne peut être activé que pour les instances sous licence de Citrix Hypervisor Premium Edition.
Liste des blocs modifiés :
- Comparez deux instantanés VDI et répertoriez les blocs qui ont changé entre eux
Configurer PVS-Accelerator:
- Activer PVS-Accelerator
- Désactiver l’accélérateur PVS
- Mise à jour de la configuration du cache (PVS-Accelerator)
- Ajouter/Supprimer la configuration du cache (PVS-Accelerator)
Voir la configuration de PVS-Accelerator :
- Voir l’état de PVS-Accelerator
Remarque :
Parfois, un utilisateur en lecture seule ne peut pas déplacer une ressource dans un dossier dans XenCenter, même après avoir reçu une invite d’élévation et fourni les informations d’identification d’un utilisateur plus privilégié. Dans ce cas, connectez-vous à XenCenter en tant qu’utilisateur le plus privilégié et réessayez l’action.
Comment Citrix Hypervisor calcule-t-il les rôles de la session ?
-
L’objet est authentifié via le serveur Active Directory pour vérifier à quels groupes de confinement l’objet peut également appartenir.
-
Citrix Hypervisor vérifie ensuite quels rôles ont été attribués à la fois au sujet et aux groupes qui le contiennent.
-
Étant donné que les sujets peuvent être membres de plusieurs groupes Active Directory, ils héritent de toutes les autorisations des rôles associés.
