Rôles et autorisations RBAC
Rôles
Citrix Hypervisor est livré avec les six rôles préétablis suivants :
-
Administrateur de pool (administrateur de pool) — identique à la racine locale. Peut effectuer toutes les opérations.
Remarque :
Le super utilisateur local (root) a le rôle « Administrateur du pool ». Le rôle Administrateur de pool dispose des mêmes autorisations que la racine locale.
Si vous supprimez le rôle Admin du pool d’un utilisateur, pensez également à modifier le mot de passe racine du serveur et à faire pivoter le secret du pool. Pour plus d’informations, consultez la section Sécurité du pool.
-
Opérateur de pool (Pool Operator) — peut tout faire, sauf ajouter/supprimer des utilisateurs et modifier leurs rôles. Ce rôle est principalement axé sur la gestion des hôtes et des pools (c’est-à-dire la création de stockage, la création de pools, la gestion des hôtes, etc.).
-
Virtual Machine Power Administrator (VM Power Admin) : crée et gère les machines virtuelles. Ce rôle est axé sur le provisionnement de machines virtuelles destinées à être utilisées par un opérateur de machine virtuelle.
-
Virtual Machine Administrator (VM Admin) : similaire à un Power Admin VM, mais ne peut pas migrer les machines virtuelles ni effectuer des snapshots.
-
Virtual Machine Operator (VM Operator), similaire à VM Admin, mais ne peut pas créer/détruire des machines virtuelles, mais peut effectuer des opérations de démarrage/arrêt du cycle de vie.
-
Lecture seule (lecture seule) : permet d’afficher le pool de ressources et les données de performance.
Avertissement :
lorsque vous utilisez des groupes Active Directory pour accorder l’accès aux utilisateurs Administrateur de pool qui ont besoin d’un accès SSH hôte, le nombre d’utilisateurs du groupe Active Directory ne doit pas dépasser 500.
Pour un résumé des autorisations disponibles pour chaque rôle et pour plus d’informations sur les opérations disponibles pour chaque autorisation, consultez la section Définitions des rôles et autorisations RBAC dans la section suivante.
Lorsque vous créez un utilisateur dans Citrix Hypervisor, vous devez d’abord attribuer un rôle à l’utilisateur nouvellement créé avant qu’il ne puisse utiliser le compte. Citrix Hypervisor n’attribue pas automatiquement de rôle à l’utilisateur nouvellement créé. Par conséquent, ces comptes n’ont aucun accès au pool Citrix Hypervisor tant que vous ne leur avez pas attribué un rôle.
-
Modifiez le mappage sujet/rôle. Cela nécessite l’autorisation d’attribuer/modifier le rôle, disponible uniquement pour un administrateur de pool.
-
Modifiez l’appartenance au groupe contenant l’utilisateur dans Active Directory.
Définitions des rôles et des autorisations RBAC
Le tableau suivant récapitule les autorisations disponibles pour chaque rôle. Pour plus de détails sur les opérations disponibles pour chaque autorisation, consultez la section Définitions des autorisations.
Autorisations des rôles | Administrateur du pool | Opérateur de pool | Administrateur d’alimentation de la machine virtuelle | Administrateur de machine virtuelle | Opérateur de VM | Lecture seule |
---|---|---|---|---|---|---|
Attribuer/modifier des rôles | X | |||||
Connectez-vous aux consoles de serveur (physiques) (via SSH et XenCenter) | X | |||||
Sauvegarde/restauration du serveur | X | |||||
Importer des packages OVF/OVA ; importer des images de disque | X | |||||
Importer des packages XVA | X | X | X | |||
Exporter des packages OVF/OVA | X | |||||
Exporter des packages XVA | X | X | X | |||
Jeu de noyaux par socket | X | X | X | X | ||
Convertir des machines virtuelles à l’aide de XenServer Conversion Manager | X | |||||
Verrouillage du port de commutation | X | X | ||||
Multiacheminement | X | X | ||||
Déconnexion des connexions utilisateur actives | X | X | ||||
Création et rejet d’alertes | X | X | ||||
Annuler la tâche de n’importe quel utilisateur | X | X | ||||
Gestion du pool | X | X | ||||
Migration dynamique | X | X | X | |||
Migration dynamique du stockage | X | X | X | |||
Opérations avancées de la machine virtuelle | X | X | X | |||
Opérations de création/destruction de machines virtuelles | X | X | X | X | ||
Support CD pour changer de machine virtuelle | X | X | X | X | X | |
VM change l’état de l’alimentation | X | X | X | X | X | |
Afficher les consoles de VM | X | X | X | X | X | |
Machines vApp (Ajouter/Modifier/Supprimer des machines vApp) | X | X | ||||
Machines vApp (Démarrer/arrêter des machines vApp) | X | X | ||||
Machines vApp (ajouter/supprimer des machines virtuelles à un regroupement vApp existant) | X | X | ||||
Machines vApp (Afficher les machines vApp) | X | X | X | X | X | X |
Opérations de gestion des vues XenCenter | X | X | X | X | X | |
Annuler ses propres tâches | X | X | X | X | X | X |
Lire les journaux d’audit | X | X | X | X | X | X |
Se connecter au pool et lire toutes les métadonnées du pool | X | X | X | X | X | X |
Configuration du GPU virtuel | X | X | ||||
Afficher la configuration du GPU virtuel | X | X | X | X | X | X |
Accéder au lecteur de configuration (machines virtuelles CoreOS uniquement) | X | |||||
Instantanés planifiés (ajouter/supprimer des machines virtuelles aux planifications d’instantanés existantes) | X | X | X | |||
Instantanés planifiés (ajouter/modifier/supprimer des planifications d’instantanés) | X | X | ||||
Collecte des informations de diagnostic | X | X | ||||
Configuration du suivi des blocs modifiés | X | X | X | X | ||
Lister les blocs modifiés | X | X | X | X | X | |
Configurer PVS-Accelerator | X | X | ||||
Afficher la configuration PVS-Accelerator | X | X | X | X | X | X |
Définitions des autorisations
Attribuer/modifier des rôles :
- Ajouter/supprimer des utilisateurs
- Ajouter/supprimer des rôles pour les utilisateurs
- Activer et désactiver l’intégration Active Directory (en cours de connexion au domaine)
Cette autorisation permet à l’utilisateur de s’accorder n’importe quelle autorisation ou d’effectuer n’importe quelle tâche.
Avertissement : ce rôle permet à l’utilisateur de désactiver l’intégration d’Active Directory et tous les sujets ajoutés à partir d’Active Directory.
Connectez-vous aux consoles du serveur :
- Accès à la console du serveur via SSH
- Accès à la console du serveur via XenCenter
Avertissement : Avec l’accès à un shell racine, le destinataire peut reconfigurer arbitrairement l’ensemble du système, y compris le RBAC.
Opérations de création/destruction de machines virtuelles de sauvegarde/restauration du serveur :
- Sauvegarde et restauration des serveurs
- Sauvegarde et restauration des métadonnées du pool
La capacité de restauration d’une sauvegarde permet au destinataire d’annuler les modifications de configuration RBAC.
Importer/exporter des packages OVF/OVA et des images disque :
- Importer des packages OVF et O
- Importer des images de disque
- Exporter les machines virtuelles sous forme de packages OVF/OVA
Définir les cœurs par socket :
- Définir le nombre de cœurs par socket pour les processeurs virtuels de la machine virtuelle
Cette autorisation permet à l’utilisateur de spécifier la topologie des processeurs virtuels de la machine virtuelle.
Convertissez des machines virtuelles à l’aide de XenServer Conversion Manager (anciennement Citrix Hypervisor Conversion Manager) :
- Convertir les machines virtuelles VMware ESXi/vCenter en machines virtuelles Citrix Hypervisor
Cette autorisation permet à l’utilisateur de convertir les charges de travail de VMware vers Citrix Hypervisor en copiant des lots de machines virtuelles VMware ESXi/vCenter vers l’environnement Citrix Hypervisor.
Verrouillage du port de commutation :
- Contrôler le trafic sur un réseau
Cette autorisation permet à l’utilisateur de bloquer tout le trafic sur un réseau par défaut, ou de définir des adresses IP spécifiques à partir desquelles une machine virtuelle est autorisée à envoyer du trafic.
Multiacheminement :
- Activer le multiacheminement
- Désactiver le multiacheminement
Déconnectez les connexions utilisateur actives :
- Possibilité de déconnecter les utilisateurs connectés
Créer/rejeter des alertes :
- Configurer XenCenter pour générer des alertes lorsque l’utilisation des ressources dépasse certains seuils
- Supprimer les alertes de la vue Alertes
Avertissement : un utilisateur disposant de cette autorisation peut ignorer les alertes pour l’ensemble du pool.
Remarque : La possibilité d’afficher les alertes fait partie de l’ autorisation Se connecter au pool et lire toutes les métadonnées du pool.
Annuler la tâche de n’importe quel utilisateur :
- Annuler la tâche en cours d’exécution d’un utilisateur
Cette autorisation permet à l’utilisateur de demander Citrix Hypervisor d’annuler une tâche en cours initiée par tout utilisateur.
Gestion de pools :
- Définir les propriétés du pool (dénomination, SR par défaut)
- Créer un pool en cluster
- Activation, désactivation et configuration de la haute disponibilité
- Définir les priorités de redémarrage haute disponibilité par machine virtuelle
- Configurer la reprise après sinistre et effectuer des opérations de basculement, de restauration et de test de basculement
- Activer, désactiver et configurer l’équilibrage de la charge de travail (WLB)
- Ajouter et supprimer un serveur du pool
- Transition d’urgence vers le master
- Adresse principale d’urgence
- Membres du pool de récupération d’urgence
- Désigner un nouveau maître
- Gérer les certificats de pool et de serveur
- Application de correctifs
- Définition des propriétés du serveur
- Configuration de la journalisation du serveur
- Activation et désactivation des serveurs
- Arrêtez, redémarrez et mettez les serveurs sous tension
- Pile d’outils de redémarrage
- Rapports d’état du système
- Appliquer une licence
- Migration en direct de toutes les autres machines virtuelles d’un serveur vers un autre serveur, en raison du mode de maintenance ou de la haute disponibilité
- Configurer l’interface de gestion du serveur et les interfaces secondaires
- Désactiver la gestion des serveurs
- Supprimer les crashdumps
- Ajouter, modifier et supprimer des réseaux
- Ajouter, modifier et supprimer des PBD/PIFS/VLAN/Bonds/SR
- Ajouter, supprimer et récupérer des secrets
Cette autorisation inclut toutes les actions requises pour gérer un pool.
Remarque : si l’interface de gestion ne fonctionne pas, aucune connexion ne peut s’authentifier, sauf les connexions racine locales.
Migration en direct :
- Migrer les machines virtuelles d’un hôte vers un autre hôte lorsque les machines virtuelles se trouvent sur un stockage partagé par les deux hôtes
Migration en direct du stockage :
- Migration d’un hôte vers un autre hôte lorsque les machines virtuelles ne se trouvent pas sur un stockage partagé entre les deux hôtes
- Déplacer un disque virtuel (VDI) d’un SR vers un autre SR
Opérations avancées des machines virtuelles :
- Régler la mémoire de la machine virtuelle (via Dynamic Memory Control)
- Créer un instantané de machine virtuelle avec de la mémoire, prendre des instantanés de VM et restaurer des machines virtuelles
- Migration des machines virtuelles
- Démarrage des machines virtuelles, y compris la spécification du serveur physique
- Reprendre les machines virtuelles
Cette autorisation fournit au destinataire suffisamment de privilèges pour démarrer une machine virtuelle sur un autre serveur s’il n’est pas satisfait du serveur Citrix Hypervisor sélectionné.
Opérations de création/destruction de machines virtuelles :
- Installer ou supprimer
- Cloner/copier des machines virtuelles
- Ajouter, supprimer et configurer des périphériques de disque virtuel/CD
- Ajouter, supprimer et configurer des périphériques réseau virtuels
- Importer/exporter des fichiers XVA
- Modification de la configuration de la machine virtuelle
- Sauvegarde/restauration du serveur
Support CD pour changer de machine virtuelle :
- Éjecter le CD actuel
- Insérer un nouveau CD
Import/export de packages OVF/OVA ; importation d’images disque
Modification de l’état d’alimentation de la machine virtuelle :
- Démarrage des machines virtuelles (placement automatique)
- Arrêter les machines virtuelles
- Redémarrer les machines virtuelles
- Suspendre les VM
- Reprendre les machines virtuelles (placement automatique)
Cette autorisation n’inclut pas start_on, resume_on et migrate, qui font partie de l’autorisation des opérations avancées de la machine virtuelle.
Afficher les consoles de machines virtuelles :
- Voir et interagir avec les consoles de machines virtuelles
Cette autorisation ne permet pas à l’utilisateur d’afficher les consoles de serveurs.
Machines vApp (ajouter/modifier/supprimer des machines vApp) :
- Créer une vApp
- Supprimer une vApp
- Modifier les propriétés d’une machine vApp
Machines vApp (Démarrer/arrêter des machines vApp) :
- Démarrer une machine vApp
- Arrêter une machine vApp
Machines vApp (ajouter/supprimer des machines virtuelles à un regroupement vApp existant) :
- Ajoutez une machine virtuelle à un regroupement vApp.
- Supprimer une machine virtuelle d’un regroupement vApp
Machines vApp (Afficher les machines vApp) :
- Afficher les machines vApp du regroupement
Opérations de gestion des vues XenCenter :
- Créer et modifier des dossiers XenCenter globaux
- Créer et modifier des champs personnalisés XenCenter globaux
- Créer et modifier des recherches globales XenCenter
Les dossiers, les champs personnalisés et les recherches sont partagés entre tous les utilisateurs accédant au pool
Annulez vos propres tâches :
- Permet à un utilisateur d’annuler ses propres tâches
Lire le journal d’audit :
- Téléchargez le journal d’audit Citrix Hypervisor
Connectez-vous au pool et lisez toutes les métadonnées du pool :
- Se connecter au pool
- Afficher les métadonnées du pool
- Afficher les données de performance historiques
- Afficher les utilisateurs connectés
- Afficher les utilisateurs et les rôles
- Afficher les messages
- S’inscrire et recevoir des événements
Configurez le GPU virtuel :
- Spécifier une stratégie de placement à l’échelle du pool
- Attribuer un GPU virtuel à une machine virtuelle
- Supprimer un GPU virtuel d’une machine virtuelle
- Modifier les types de GPU virtuels autorisés
- Création, destruction ou attribution d’un groupe de GPU
Afficher la configuration du GPU virtuel :
- Afficher les GPU, les stratégies de placement des GPU et les attributions de GPU virtuels
Accédez au lecteur de configuration (machines virtuelles CoreOS uniquement) :
- Accéder au pilote de configuration de la machine virtuelle
Instantanés planifiés :
- Ajouter des machines virtuelles aux planifications de snapshots existantes
- Supprimer les machines virtuelles des planifications de snapshots existantes
- Ajouter des calendriers instantanés
- Modifier les calendriers des captures d’écran
- Supprimer des plannings de snapshots
Recueillez des informations de diagnostic auprès de Citrix Hypervisor :
- Lancement de la collecte du GC et du compactage du tas
- Recueillir les statistiques de collecte
- Recueillir des statistiques
- Collectez des statistiques réseau
Configurer le suivi des blocs modifiés :
- Activer le suivi des blocs modifiés
- Désactiver le suivi des blocs modifiés
- Détruire les données associées à un instantané et conserver les métadonnées
- Obtenir les informations de connexion NBD pour un VDI
Le suivi des blocs modifiés ne peut être activé que pour les instances sous licence de Citrix Hypervisor Premium Edition.
Lister les blocs modifiés :
- Comparez deux instantanés VDI et répertoriez les blocs qui ont changé entre eux
Configurer PVS-Accelerator :
- Activer l’accélérateur PVS
- Désactiver PVS-Accelerator
- Configuration du cache de mise à jour (PVS-Accelerator)
- Ajouter/supprimer la configuration du cache (PVS-Accelerator)
Afficher la configuration PVS-Accelerator :
- Afficher l’état de PVS-Accelerator
Remarque :
Parfois, un utilisateur en lecture seule ne peut pas déplacer une ressource vers un dossier dans XenCenter, même après avoir reçu une invite d’élévation et fourni les informations d’identification d’un utilisateur plus privilégié. Dans ce cas, connectez-vous à XenCenter en tant qu’utilisateur disposant de privilèges et réessayez l’action.
Comment Citrix Hypervisor calcule-t-il les rôles pour la session ?
-
Le sujet est authentifié via le serveur Active Directory pour vérifier à quels groupes de contenants il peut également appartenir.
-
Citrix Hypervisor vérifie ensuite quels rôles ont été attribués à la fois au sujet et aux groupes qu’il contient.
-
Comme les sujets peuvent être membres de plusieurs groupes Active Directory, ils héritent de toutes les autorisations des rôles associés.