Права доступа и роли

Права доступа

Права доступа — набор действий, разрешенных для выполнения субъектам над объектами данных. Права доступа определяют правила, которые затем объединяются в роли. Создание, изменение и удаление прав доступа невозможно. Список прав доступа единый для всей системы и может меняться только при ее обновлении.

Существуют следующие виды прав доступа:

• Командные — определяют право доступа пользователя к определенной команде. Например, cluster_list, aaa_user_show.
• Функциональные — определяют право доступа к определенным действиям в команде. Например, login_namespace — позволяет выполнять авторизацию через атрибуты cluster_to, ns_to.

Действия с правами доступа:

1. Чтобы просмотреть все права доступа во ВЦОД управления, перейдите на вкладку Администрирование > Права доступа. Права доступа в списке отображаются в алфавитном порядке.

   

2. Чтобы просмотреть подробную информацию конкретного права доступа, нажмите в строке права доступа кнопку . Откроется подробное описание права доступа.

   Например, aaa_namespace_path_show предоставляет доступ к просмотру структуры директорий ВЦОД управления, aaa_session_del позволяет удалять сессию пользователя.

   

   

---

Роли

Роль — набор прав доступа, которые необходимы пользователю или группе пользователей для выполнения определенных задач. Права доступа объединяются в роли. Затем роли присваиваются пользователю или группе пользователей. Каждый пользователь может быть связан от 1 до N ролей.

Разные роли создаются в системе на определенных уровнях объектов виртуализации.
Роли и пользователей по умолчанию удалить нельзя. Новые роли и пользователи могут быть созданы администраторами в пределах их ВЦОД. Права доступа выбираются из стандартного набора без права изменения и удаления.

Во ВЦОД управления по умолчанию создаются две роли: администратор кластера и администратор безопасности кластера.

Роли уровня ВЦОД автоматически появляются в каждом новом создаваемом ВЦОД из стандартных конфигураций:

• администратор ВЦОД.

• администратор безопасности ВЦОД.

• администратор ВМ.

• разработчик ВМ.

Ниже рассмотрены подробные права каждой роли, созданной по умолчанию.

Роли по умолчанию

Администратор кластера

Функции Администратора кластера:

• настройка параметров и операции с программными модулями (плагинами) Sharx Base;
• настройка параметров безопасности и интеграции Sharx Base с каталогом LDAP;
• настройка ролей во ВЦОД управления;
• делегирование и отзыв прав доступа во ВЦОД;
• управление сессиями доступа во ВЦОД управления;
• создание, удаление, настройка параметров учетных записей пользователей ВЦОД управления;
• настройка параметров использования ресурсов кластера;
• просмотр журналов и конфигурационных параметров журналирования событий Sharx Base;
• настройка параметров и выполнение операций с сетевым стеком и виртуальными сетями платформы виртуализации;
• настройка параметров и выполнение операций с журналами событий узлов кластера;
• настройка параметров механизма уведомлений и рассылок Sharx Base;
• перевод, удаление узлов кластера из сервисного режима;
• выполнение операций с метками и их привязка к ВЦОД;
• настройка параметров и выполнение операций с ключами и сертификатами;
• настройка параметров работы Sharx Base с СХД (РСХД, Libvirt, NFS);
• настройка параметров и выполнение операций по обновлению ПО Sharx Base;
• настройка параметров и выполнение операции с лицензиями;
• просмотр параметров и результатов операций контроля целостности;
• настройка параметров и выполнение операций мониторинга.

Администратор безопасности кластера

Функции Администратора безопасности кластера:

• просмотр всех конфигурационных параметров Sharx Base;
• настройка параметров и выполнение операций контроля целостности;
• настройка параметров журналирования событий и просмотр событий;
• выполнение операций мониторинга.

---

Администратор ВЦОД

Функции Администратора ВЦОД ограничены рамками ВЦОД и включают следующее:

• настройка структуры каталогов ВЦОД;
• настройка параметров безопасности ВЦОД и интеграции ВЦОД с каталогом LDAP;
• просмотр прав доступа, создание, удаление и настройка ролей ВЦОД;
• управление сессиями доступа ВЦОД;
• создание, удаление, настройка параметров учетных записей пользователей ВЦОД;
• просмотр журналов и конфигурационных параметров журналирования событий ВЦОД;
• просмотр выделенных для ВЦОД ресурсов виртуальных сетей, настройка параметров и операции с сетевым стеком, виртуальными сетями и ACL ВЦОД;
• конфигурационные настройки и операции с сетевым стеком и ACL ВМ ВЦОД;
• настройка параметров механизма уведомлений и рассылок ВЦОД;
• настройка параметров и выполнение операций с виртуальными кластерами, ресурсными ограничениями виртуальных кластеров, пользовательскими ресурсами в виртуальных кластерах ВЦОД;
• создание, удаление, настройка параметров и выполнение операций по управлению состоянием ВМ (включение, выключение, перезагрузка);
• выполнение операций со снимками ВМ ВЦОД;
• выполнение операций с узлами виртуальных кластеров во ВЦОД;
• выполнение операций с метками виртуальных кластеров во ВЦОД;
• настройка параметров и выполнение операций с ключами и сертификатами ВЦОД;
• настройка параметров и выполнение операций с СХД (пулы хранения, тома для ВМ, снимки ВМ, копии дисков);
• выполнение операций мониторинга ВЦОД;
• доступ к VNC-консоли ВМ.

Администратор безопасности ВЦОД

Функции Администратора безопасности ВЦОД:

• просмотр всех конфигурационных параметров ВЦОД;
• настройка параметров и выполнение операций контроля целостности ВЦОД;
• настройка параметров журналирования событий ВЦОД и просмотр событий ВЦОД;
• выполнение операций мониторинга во ВЦОД.

Администратор ВМ

Функции Администратора ВМ:

• отображение списка пользовательских ресурсов виртуальных кластеров ВЦОД;
• выполнение операций по управлению состоянием ВМ (включение, выключение, перезагрузка);
• доступ к VNC-консоли ВМ.

Разработчик ВМ

Функции Разработчика ВМ:

• просмотр журналов собственных событий ВЦОД;
• просмотр сведений и параметров виртуальных сетей ВЦОД;
• настройка и выполнение операций с сетевым стеком ВМ ВЦОД;
• просмотр сведений о пользовательских ресурсах и ресурсных ограничениях виртуальных кластеров ВЦОД;
• создание, удаление, настройка параметров и выполнение операций по управлению состоянием ВМ (включение, выключение, перезагрузка);
• выполнение операций по управлению снимками ВМ;
• просмотр сведений о виртуальных кластеров ВЦОД, метках виртуальных кластеров ВЦОД;
• просмотр сведений о пулах хранения СХД, томах для ВМ, снимках ВМ, шаблонах дисков ВМ;
• выполнение операций по созданию и удалению резервной копии ВМ;
• доступ к VNC-консоли ВМ.

---

Действия с ролями

Администратор кластера может управлять ролями в рамках ВЦОД управления.

1. Чтобы добавить новую роль во ВЦОД управления, необходимо выполнить следующие действия:

   • перейдите на вкладку Администрирование > Роли;

   • нажмите кнопку Добавить роль;

     

   • заполните поле Название роли;

   • заполните поле Описание;
   • в поле Группы атрибутов доступа нажмите и отметьте те права доступа, которые хотите назначить для новой роли;

   • нажмите кнопку Создать;

     

   • проверьте, что новая роль была успешна создана.

     

2. Чтобы отредактировать роль, необходимо выполнить следующие действия:

   • проверьте, что роль, которую вы хотите удалить, не присвоена ни одному из пользователей;
   • перейдите на вкладку Администрирование > Роли;

   • в поле той роли, которую вы хотите отредактировать, нажмите кнопку ;

     

   • измените параметры роли и нажмите кнопку Сохранить;

     

3. Чтобы удалить роль, необходимо выполнить следующие действия:

   • перейдите на вкладку Администрирование > Роли;

   • в поле той роли, которую вы хотите удалить, нажмите кнопку ;

     Примечание

     Если роль привязана к пользователю, то она не будет удалена.
     Роли, созданные по умолчанию, удалить нельзя

     

   • нажмите кнопку Удалить;

     

---

Термины и определения содержатся в статьях:

• Глоссарий русских терминов.
• Глоссарий английских терминов.