1.2. システムパーミッション
パーミッションによりユーザーは、オブジェクトに対するアクションを実行することができます。アクションの対象となるオブジェクトは、個別のオブジェクトもしくはコンテナーオブジェクトです。
図1.4 パーミッッション & ロール
コンテナーオブジェクトに適用されるパーミッションは、そのコンテナーの全メンバーに対しても適用されます。以下の図は、システム内のオブジェクトの階層を示しています。
図1.5 Red Hat Virtualization のオブジェクト階層
1.2.1. ユーザーのプロパティー
ロールとパーミッションは、ユーザーのプロパティーです。ロールは、さまざまなレベルの物理/仮想リソースへアクセスを可能にする事前定義された一連の権限です。マルチレベルの管理により、粒度の高いパーミッション階層が提供されます。たとえば、データセンター管理者には、データセンター内の全オブジェクトを管理するパーミッションがある一方、ホスト管理者には、単一の物理ホストに対するシステム管理者のパーミッションがあります。また、あるユーザーには、仮想マシンを使用することができるが、その仮想マシンの設定変更はできないパーミッションを割り当てることができる一方、別のユーザーには仮想マシンのシステムパーミッションを割り当てることができます。
1.2.2. ユーザーロールと管理者ロール
Red Hat Virtualization は、システム全体のパーミッションを持つ管理者から単一の仮想マシンへのアクセス権限を持つエンドユーザーまで、さまざまな事前設定済みロールを提供しています。デフォルトのロールは、変更/削除することはできませんが、必要に応じてクローン作成、カスタマイズ、または新規作成することができます。ロールには 2 つのタイプがあります。
- 管理者ロール: 管理ポータル を使用して物理/仮想リソースを管理できます。管理者ロールにより、ユーザーポータルで操作を行うためのパーミッションも付与されますが、このパーミッションはユーザーポータルでユーザーに表示される内容とは関係ありません。
- ユーザーロール: ユーザーポータル を使用して仮想マシンやテンプレートの管理とアクセスができます。ユーザーロールにより、ユーザーポータルでそのユーザーに表示される項目が決定します。管理者ロールが設定されたユーザーに付与されるパーミッションは、ユーザーポータルでそのユーザーが行うことができる操作に反映されます。
たとえば、クラスターの
administrator ロールが割り当てられている場合は、管理ポータル を使用してクラスター内の仮想マシンを管理することができますが、ユーザーポータル 内の仮想マシンには一切アクセスすることはできません。そのためには、user ロールが必要です。
1.2.3. ユーザーロール
以下の表には、ユーザーポータルで仮想マシンへのアクセスと設定を行うためのパーミッションを付与する基本的なユーザーロールについての説明をまとめています。
| ロール | 特権 | 備考 |
|---|---|---|
| UserRole | 仮想マシンとプールにアクセスして使用することができます。 | ユーザーポータルにログインし、割り当てられた仮想マシンとプールを使用したり、仮想マシンのステータスや詳細情報を確認したりすることができます。 |
| PowerUserRole | 仮想マシンとテンプレートの作成および管理ができます。 | このロールをユーザーに適用するには、設定 ウィンドウを使用して環境全体で設定するか、特定のデータセンターまたはクラスターで設定します。たとえば、PowerUserRole がデータセンターレベルで適用されると、PowerUser はそのデータセンター内で仮想マシンおよびテンプレートの作成ができます。 |
| UserVmManager | 仮想マシンのシステム管理者 | 仮想マシンの管理およびスナップショットの作成と使用ができます。ユーザーポータル内で仮想マシンを作成したユーザーには、そのマシンに対する UserVmManager ロールが自動的に割り当てられます。 |
以下の表には、上級のユーザーロールについての説明をまとめています。このロールが割り当てられると、ユーザーポータルでリソースに対するパーミッションを細かく設定することができます。
| ロール | 特権 | 備考 |
|---|---|---|
| UserTemplateBasedVm | テンプレートのみを使用できる制限付き権限 | テンプレートを使用して仮想マシンを作成することができます。 |
| DiskOperator | 仮想ディスクのユーザー | 仮想ディスクの使用/表示/編集ができます。仮想ディスクがアタッチされた仮想マシンを使用するパーミッションは継承されます。 |
| VmCreator | ユーザーポータルで仮想マシンを作成することができます。 | このロールは特定の仮想マシンに適用するのではなく、設定 ウィンドウから全環境でユーザーに適用するか、特定のデータセンターまたはクラスターに適用します。クラスターにこのロールを適用する場合は、データセンター全体、または特定のストレージドメインに対して DiskCreator ロールも適用する必要があります。 |
| TemplateCreator | 割り当てられたリソース内で仮想マシンのテンプレートの作成/編集/管理/削除ができます。 | このロールは個別のテンプレートに適用されません。設定 ウィンドウを使用して、環境全体でこのロールをユーザーに適用します。または、特定のデータセンター、クラスター、ストレージドメインでこのロールを適用します。 |
| DiskCreator | 割り当てられたクラスターまたはデータセンター内で仮想ディスクの作成/編集/管理/削除ができます。 | このロールは個別の仮想ディスクに適用されません。環境全体でこのロールをユーザーに適用するには 設定 ウィンドウを使用します。または、特定のデータセンター/ストレージドメインを対象にこのロールを適用します。 |
| TemplateOwner | テンプレートの編集や削除、またテンプレートのユーザーパーミッションの割り当てや管理ができます。 | このロールは、テンプレートを作成したユーザーに自動的に割り当てられます。テンプレートに対する TemplateOwner パーミッションのないその他のユーザーは、そのテンプレートを表示または使用することはできません。 |
| VnicProfileUser | 仮想マシンおよびテンプレートの論理ネットワークおよびネットワークインターフェースのユーザー | 特定の論理ネットワークにネットワークインターフェースをアタッチ/デタッチできます。 |
1.2.4. 管理者ロール
以下の表には、管理ポータルでリソースにアクセスして設定を行うためのパーミッションを付与する基本的な管理者ロールについての説明をまとめています。
| ロール | 権限 | 備考 |
|---|---|---|
| SuperUser | Red Hat Virtualization 環境のシステム管理者 | すべてのオブジェクトおよびレベルに対する完全なパーミッションがあり、全データセンターの全オブジェクトを管理できます。 |
| ClusterAdmin | クラスターの管理者 | 特定のクラスター下の全オブジェクトに対する管理者パーミッションがあります。 |
| DataCenterAdmin | データセンターの管理者 | ストレージを除く特定のデータセンター下の全オブジェクトに対する管理者パーミッションがあります。 |
重要
ディレクトリーサーバーの管理ユーザーは Red Hat Virtualization の管理ユーザーとしては使用せずに、Red Hat Virtualization の管理ユーザーとして専用に使用するユーザーを作成してください。
以下の表には、上級管理者ロールについての説明をまとめています。このロールが割り当てられると、管理ポータルでリソースに対するパーミッションを細かく設定することができます。
| ロール | 権限 | 備考 |
|---|---|---|
| TemplateAdmin | 仮想マシンテンプレートの管理者 | ストレージドメインやテンプレートのネットワーク詳細の作成/削除/設定やドメイン間のテンプレートの移動ができます。 |
| StorageAdmin | ストレージの管理者 | 割り当て済みのストレージドメインを作成/削除/設定/管理できます。 |
| HostAdmin | ホストの管理者 | 特定のホストをアタッチ/削除/設定/管理できます。 |
| NetworkAdmin | ネットワークの管理者 | 特定のデータセンターまたはクラスターのネットワークの設定と管理ができます。データセンターまたはクラスターのネットワーク管理者は、クラスター内の仮想プールに対するネットワークパーミッションも継承します。 |
| VmPoolAdmin | 仮想プールのシステム管理者 | 仮想プールの作成/削除/設定、仮想プールユーザーの割り当て/削除、およびプール内の仮想マシンに対する基本操作ができます。 |
| GlusterAdmin | Gluster ストレージ管理者 | Gluster ストレージボリュームを作成、削除、設定、管理することができます。 |
| VmImporterExporter | 仮想マシンのインポート/エクスポートに関する管理者 | 仮想マシンのインポートとエクスポートを実行することが可能です。また、他のユーザーによってエクスポートされた仮想マシンとテンプレートをすべて表示することができます。 |
