Права доступа и роли

Права доступа

Права доступа — набор действий, разрешенных для выполнения субъектам над объектами данных. Права доступа определяют правила, которые затем объединяются в роли. Создание, изменение и удаление прав доступа невозможно. Список прав доступа единый для всей системы и может меняться только при ее обновлении.

Существуют следующие виды прав доступа:

• Командные — определяют право доступа пользователя к определенной команде. Например, cluster_list, aaa_user_show.
• Функциональные — определяют право доступа к определенным действиям в команде. Например, login_namespace — позволяет выполнять авторизацию через атрибуты cluster_to, ns_to.

Права доступа имеют следующие параметры:

• name — имя права доступа;
• uuid — уникальный идентификатор в системе;

• privileged — флаг привилегированности. 1 — привилегированное, 0 — обычное;
• descr — описание права доступа.

Команды управления правами доступа:

1. Просмотр всех прав доступа во ВЦОД

   aaa permissions list
   

2. Просмотр подробной информации о конкретном праве доступа.

   aaa permissions show --name <NAME>
   

   где name — имя права доступа.

3. Делегировать права доступа во ВЦОД

   aaa permissions ns add --ns <NS> 
                          --name <NAME>
   

   где

   • ns — имя или список имен ВЦОД, куда делегируются права;
   • name — имя или список имен делегируемых прав доступа.

4. Отозвать права доступа из ВЦОД

   aaa permissions ns del --ns <NS> 
                          --name <NAME>
   

   где

   • ns — имя или список имен ВЦОД, откуда отзываются права;
   • name — имя или список имен отзываемых прав доступа.

После делегирования или отзыва прав доступа во ВЦОД происходит автоматическое обновление встроенных ролей с учетом наличия данных прав доступа. При делегировании для ролей, созданных вручную, необходимо назначить им делегированные права доступа. Далее при отзыве или повторном делегировании для таких ролей также происходит автоматическое обновление.

---

Роли

Роль — набор прав доступа, которые необходимы пользователю или группе пользователей для выполнения определенных задач. Права доступа объединяются в роли. Затем роли присваиваются пользователю или группе пользователей. Каждый пользователь может быть связан от 1 до N ролей.

Разные роли создаются в системе на определенных уровнях объектов виртуализации.
Роли и пользователей по умолчанию удалить нельзя. Новые роли и пользователи могут быть созданы администраторами в пределах их ВЦОД. Права доступа выбираются из стандартного набора без права изменения и удаления.

Во ВЦОД управления по умолчанию создаются две роли: администратор кластера и администратор безопасности кластера.

Роли уровня ВЦОД автоматически появляются в каждом новом создаваемом ВЦОД из стандартных конфигураций:

• администратор ВЦОД.

• администратор безопасности ВЦОД.

• администратор ВМ.

• разработчик ВМ.

Ниже рассмотрены подробные права каждой роли, созданной по умолчанию.

Роли по умолчанию

Администратор кластера

Функции Администратора кластера:

• настройка параметров и операции с программными модулями (плагинами) Sharx Base;
• настройка параметров безопасности и интеграции Sharx Base с каталогом LDAP;
• настройка ролей во ВЦОД управления;
• делегирование и отзыв прав доступа во ВЦОД;
• управление сессиями доступа во ВЦОД управления;
• создание, удаление, настройка параметров учетных записей пользователей ВЦОД управления;
• настройка параметров использования ресурсов кластера;
• просмотр журналов и конфигурационных параметров журналирования событий Sharx Base;
• настройка параметров и выполнение операций с сетевым стеком и виртуальными сетями платформы виртуализации;
• настройка параметров и выполнение операций с журналами событий узлов кластера;
• настройка параметров механизма уведомлений и рассылок Sharx Base;
• перевод, удаление узлов кластера из сервисного режима;
• выполнение операций с метками и их привязка к ВЦОД;
• настройка параметров и выполнение операций с ключами и сертификатами;
• настройка параметров работы Sharx Base с СХД (РСХД, Libvirt, NFS);
• настройка параметров и выполнение операций по обновлению ПО Sharx Base;
• настройка параметров и выполнение операции с лицензиями;
• просмотр параметров и результатов операций контроля целостности;
• настройка параметров и выполнение операций мониторинга.

Администратор безопасности кластера

Функции Администратора безопасности кластера:

• просмотр всех конфигурационных параметров Sharx Base;
• настройка параметров и выполнение операций контроля целостности;
• настройка параметров журналирования событий и просмотр событий;
• выполнение операций мониторинга.

---

Администратор ВЦОД

Функции Администратора ВЦОД ограничены рамками ВЦОД и включают следующее:

• настройка структуры каталогов ВЦОД;
• настройка параметров безопасности ВЦОД и интеграции ВЦОД с каталогом LDAP;
• просмотр прав доступа, создание, удаление и настройка ролей ВЦОД;
• управление сессиями доступа ВЦОД;
• создание, удаление, настройка параметров учетных записей пользователей ВЦОД;
• просмотр журналов и конфигурационных параметров журналирования событий ВЦОД;
• просмотр выделенных для ВЦОД ресурсов виртуальных сетей, настройка параметров и операции с сетевым стеком, виртуальными сетями и ACL ВЦОД;
• конфигурационные настройки и операции с сетевым стеком и ACL ВМ ВЦОД;
• настройка параметров механизма уведомлений и рассылок ВЦОД;
• настройка параметров и выполнение операций с виртуальными кластерами, ресурсными ограничениями виртуальных кластеров, пользовательскими ресурсами в виртуальных кластерах ВЦОД;
• создание, удаление, настройка параметров и выполнение операций по управлению состоянием ВМ (включение, выключение, перезагрузка);
• выполнение операций со снимками ВМ ВЦОД;
• выполнение операций с узлами виртуальных кластеров во ВЦОД;
• выполнение операций с метками виртуальных кластеров во ВЦОД;
• настройка параметров и выполнение операций с ключами и сертификатами ВЦОД;
• настройка параметров и выполнение операций с СХД (пулы хранения, тома для ВМ, снимки ВМ, копии дисков);
• выполнение операций мониторинга ВЦОД;
• доступ к VNC-консоли ВМ.

Администратор безопасности ВЦОД

Функции Администратора безопасности ВЦОД:

• просмотр всех конфигурационных параметров ВЦОД;
• настройка параметров и выполнение операций контроля целостности ВЦОД;
• настройка параметров журналирования событий ВЦОД и просмотр событий ВЦОД;
• выполнение операций мониторинга во ВЦОД.

Администратор ВМ

Функции Администратора ВМ:

• отображение списка пользовательских ресурсов виртуальных кластеров ВЦОД;
• выполнение операций по управлению состоянием ВМ (включение, выключение, перезагрузка);
• доступ к VNC-консоли ВМ.

Разработчик ВМ

Функции Разработчика ВМ:

• просмотр журналов собственных событий ВЦОД;
• просмотр сведений и параметров виртуальных сетей ВЦОД;
• настройка и выполнение операций с сетевым стеком ВМ ВЦОД;
• просмотр сведений о пользовательских ресурсах и ресурсных ограничениях виртуальных кластеров ВЦОД;
• создание, удаление, настройка параметров и выполнение операций по управлению состоянием ВМ (включение, выключение, перезагрузка);
• выполнение операций по управлению снимками ВМ;
• просмотр сведений о виртуальных кластеров ВЦОД, метках виртуальных кластеров ВЦОД;
• просмотр сведений о пулах хранения СХД, томах для ВМ, снимках ВМ, шаблонах дисков ВМ;
• выполнение операций по созданию и удалению резервной копии ВМ;
• доступ к VNC-консоли ВМ.

---

Действия с ролями

Администратор кластера может управлять ролями в рамках ВЦОД управления.

Роль имеет следующие параметры:

• name — имя роли;
• uuid — уникальный идентификатор роли;
• builtin — флаг встроенной (true) или пользовательской (false) роли;
• privileged — флаг привилегированности роли. Зависит от наличия в роли привилегированных прав доступа. Равен 1, если роль содержит привилегированные права, и равен 0, если роль не содержит привилегированные права;
• permissions — список прав доступа, входящих в роль;
• descr — описание роли.

Команды для управления ролями:

1. Чтобы добавить роли (создать пользовательскую роль), в командной строке введите

   aaa role add --role <ROLE> 
                --permissions <PERMISSIONS>
                --descr <DESCR> 
   

   где

   • role — имя роли;
   • permissions — имя или список имен прав доступа без разделительных знаков;
   • descr — описание роли.

   Параметры builtin и privileged проставляются автоматически.
   Privileged зависит от наличия привилегированных прав доступа в списке.

2. Просмотреть список всех ролей в пределах ВЦОД

   aaa role list
   

3. Просмотреть информацию о роли

   aaa role show --role <ROLE>
   

4. Изменить пользовательскую роль, добавить или удалить право доступа

   aaa role update --role <ROLE>
                   --permissions <PERMISSIONS>
   

   Примечание

   В параметре permissions перечислите список прав доступа, исключив удаляемое право.
   Или выведите список действующих прав доступа, затем добавьте к нему новые права

5. Удалить пользовательскую роль.

   Перед удалением роли проверьте, что она не присвоена ни одному из пользователей.

   После проверки для удаления роли введите команду

   aaa role del --role <ROLE>
   

   Примечание

   Если значение параметра role равно *, будут удалены все пользовательские роли в пределах ВЦОД.
   Если роль привязана к пользователю, то она не будет удалена.
   Роли по умолчанию удалить нельзя

---

Термины и определения содержатся в статьях:

• Глоссарий русских терминов.
• Глоссарий английских терминов.