1.2. システムパーミッション
パーミッションによりユーザーは、オブジェクトに対するアクションを実行することができます。アクションの対象となるオブジェクトは、個別のオブジェクトもしくはコンテナーオブジェクトです。
図1.2 パーミッッション & ロール
コンテナーオブジェクトに適用されるパーミッションは、そのコンテナーの全メンバーに対しても適用されます。以下の図は、システム内のオブジェクトの階層を示しています。
図1.3 Red Hat Virtualization のオブジェクト階層
1.2.1. ユーザーのプロパティー
ロールとパーミッションは、ユーザーのプロパティーです。ロールは、さまざまなレベルの物理/仮想リソースへのアクセスを可能にする事前定義された一連の権限です。マルチレベルの管理により、粒度の細かいパーミッション階層が提供されます。たとえば、データセンター管理者には、データセンター内の全オブジェクトを管理するパーミッションがある一方、ホスト管理者には、単一の物理ホストに対するシステム管理者のパーミッションがあります。また、あるユーザーには、仮想マシンを使用することができるが、その仮想マシンの設定変更はできないパーミッションを割り当てることができる一方、別のユーザーには仮想マシンのシステムパーミッションを割り当てることができます。
1.2.2. ユーザーロールと管理者ロール
Red Hat Virtualization は、システム全体のパーミッションを持つ管理者から単一の仮想マシンへのアクセス権限を持つエンドユーザーまで、さまざまな事前設定済みロールを提供しています。デフォルトのロールは、変更/削除することはできませんが、必要に応じてクローン作成、カスタマイズ、または新規作成することができます。ロールには 2 つのタイプがあります。
- 管理者ロール: 管理ポータル を使用して物理/仮想リソースを管理できます。管理者ロールにより、VM ユーザーポータルで操作を行うためのパーミッションも付与されますが、このパーミッションは VM ユーザーポータルでユーザーに表示される内容とは関係ありません。
- ユーザーロール: VM ユーザーポータル を使用して仮想マシンやテンプレートの管理とアクセスができます。ユーザーロールにより、VM ユーザーポータルでそのユーザーに表示される項目が決定します。管理者ロールが設定されたユーザーに付与されるパーミッションは、VM ユーザーポータルでそのユーザーが行うことができる操作に反映されます。
1.2.3. ユーザーロール
以下の表には、VM ユーザーポータルで仮想マシンへのアクセスと設定を行うためのパーミッションを付与する基本的なユーザーロールについての説明をまとめています。
| ロール | 権限 | 備考 |
|---|---|---|
|
UserRole |
仮想マシンとプールにアクセスして使用することができます。 |
VM ユーザーポータルにログインし、割り当てられた仮想マシンとプールを使用したり、仮想マシンのステータスや詳細情報を確認したりすることができます。 |
|
PowerUserRole |
仮想マシンとテンプレートの作成および管理ができます。 |
このロールをユーザーに適用するには、設定 ウィンドウを使用して環境全体で設定するか、特定のデータセンターまたはクラスターで設定します。たとえば、PowerUserRole がデータセンターレベルで適用されると、PowerUser はそのデータセンター内で仮想マシンおよびテンプレートの作成ができます。 |
|
UserVmManager |
仮想マシンのシステム管理者 |
仮想マシンの管理およびスナップショットの作成と使用ができます。VM ユーザーポータル内で仮想マシンを作成したユーザーには、そのマシンに対する UserVmManager ロールが自動的に割り当てられます。 |
以下の表には、上級のユーザーロールについての説明をまとめています。これらのロールにより、VM ユーザーポータルでリソースに対するパーミッションを細かく設定することができます。
| ロール | 権限 | 備考 |
|---|---|---|
|
UserTemplateBasedVm |
テンプレートのみを使用できる制限付き権限 |
テンプレートを使用して仮想マシンを作成することができます。 |
|
DiskOperator |
仮想ディスクのユーザー |
仮想ディスクの使用/表示/編集ができます。仮想ディスクがアタッチされた仮想マシンを使用するためのパーミッションを継承します。 |
|
VmCreator |
VM ユーザーポータルで仮想マシンを作成することができます。 |
このロールは特定の仮想マシンに適用するのではなく、設定 ウィンドウを使用して環境全体でユーザーに適用するか、特定のデータセンターまたはクラスターで適用します。クラスターにこのロールを適用する場合は、データセンター全体、または特定のストレージドメインに対して DiskCreator ロールも適用する必要があります。 |
|
TemplateCreator |
割り当てられたリソース内で仮想マシンのテンプレートの作成/編集/管理/削除ができます。 |
このロールは特定のテンプレートに適用するのではなく、設定 ウィンドウを使用して環境全体でユーザーに適用するか、特定のデータセンター、クラスター、ストレージドメインに適用します。 |
|
DiskCreator |
割り当てられたクラスターまたはデータセンター内で仮想ディスクの作成/編集/管理/削除ができます。 |
このロールは特定の仮想ディスクに適用するのではなく、設定 ウィンドウを使用して環境全体でユーザーに適用するか、特定のデータセンターまたはストレージドメインに適用します。 |
|
TemplateOwner |
テンプレートの編集や削除、またテンプレートのユーザーパーミッションの割り当てや管理ができます。 |
このロールは、テンプレートを作成したユーザーに自動的に割り当てられます。テンプレートに対する TemplateOwner パーミッションのないその他のユーザーは、そのテンプレートを表示または使用することはできません。 |
|
VnicProfileUser |
仮想マシンおよびテンプレートの論理ネットワークおよびネットワークインターフェースのユーザー |
特定の論理ネットワークにネットワークインターフェースをアタッチ/デタッチできます。 |
1.2.4. 管理者ロール
以下の表には、管理ポータルでリソースにアクセスして設定を行うためのパーミッションを付与する基本的な管理者ロールについての説明をまとめています。
| ロール | 権限 | 備考 |
|---|---|---|
|
SuperUser |
Red Hat Virtualization 環境のシステム管理者 |
すべてのオブジェクトおよびレベルに対する完全なパーミッションがあり、全データセンターの全オブジェクトを管理できます。 |
|
ClusterAdmin |
クラスターの管理者 |
特定のクラスター下の全オブジェクトに対する管理者パーミッションがあります。 |
|
DataCenterAdmin |
データセンターの管理者 |
ストレージを除く特定のデータセンター下の全オブジェクトに対する管理者パーミッションがあります。 |
ディレクトリーサーバーの管理ユーザーは Red Hat Virtualization の管理ユーザーとしては使用せずに、Red Hat Virtualization の管理ユーザーとして専用に使用するユーザーを作成してください。
以下の表には、上級の管理者ロールについての説明をまとめています。これらのロールにより、管理ポータルでリソースに対するパーミッションを細かく設定することができます。
| ロール | 権限 | 備考 |
|---|---|---|
|
TemplateAdmin |
仮想マシンテンプレートの管理者 |
ストレージドメインやテンプレートのネットワーク詳細の作成/削除/設定やドメイン間のテンプレートの移動ができます。 |
|
StorageAdmin |
ストレージの管理者 |
割り当て済みのストレージドメインを作成/削除/設定/管理できます。 |
|
HostAdmin |
ホストの管理者 |
特定のホストをアタッチ/削除/設定/管理できます。 |
|
NetworkAdmin |
ネットワークの管理者 |
特定のデータセンターまたはクラスターのネットワークの設定と管理ができます。データセンターまたはクラスターのネットワーク管理者は、クラスター内の仮想プールに対するネットワークパーミッションも継承します。 |
|
VmPoolAdmin |
仮想プールのシステム管理者 |
仮想プールの作成/削除/設定、仮想プールユーザーの割り当て/削除、およびプール内の仮想マシンに対する基本操作ができます。 |
|
GlusterAdmin |
Gluster ストレージの管理者 |
Gluster ストレージボリュームを作成、削除、設定、管理することができます。 |
|
VmImporterExporter |
仮想マシンのインポート/エクスポートに関する管理者 |
仮想マシンのインポートとエクスポートを実行することが可能です。また、他のユーザーによってエクスポートされた仮想マシンとテンプレートをすべて表示することができます。 |
1.2.5. リソースに対する管理者およびユーザーロールの割り当て
リソースに対して管理者またはユーザーのロールを割り当てると、ユーザーはそのリソースへのアクセスや管理ができるようになります。
リソースへのロール割り当て
- リソースを特定し、その名前をクリックして詳細ビューを表示します。
- パーミッション タブをクリックして、選択したリソースに割り当てられたユーザー、ユーザーのロール、継承されたパーミッションを一覧表示します。
- 追加 をクリックします。
- 検索 テキストボックスに既存ユーザーの名前またはユーザー名を入力し、検索 をクリックします。結果一覧に表示される検索候補からユーザーを選択します。
- 割り当てるロール ドロップダウンリストからロールを選択します。
- OK をクリックします。
ユーザーは、対象のリソースに対して有効化されたロールのパーミッションを継承します。
1.2.6. リソースからの管理者またはユーザーロールの削除
リソースから管理者またはユーザーのロールを削除すると、そのリソースのロールに関連付けられたユーザーのパーミッションは継承されなくなります。
リソースからのロールの削除
- リソースを特定し、その名前をクリックして詳細ビューを表示します。
- パーミッション タブをクリックして、選択したリソースに割り当てられたユーザー、ユーザーのロール、継承されたパーミッションを一覧表示します。
- リソースから削除するユーザーを選択します。
- 削除 をクリックします。
- OK をクリックします。
1.2.7. データセンターに対するシステムパーミッションの管理
システム管理者は、SuperUser として管理ポータルの全側面を管理する管理者です。他のユーザーには、より特定的な管理者ロールを割り当てることができます。このような制限付きの管理者ロールは、特定のリソースに限定した特定の管理者権限をユーザーに付与する場合に有用です。たとえば、DataCenterAdmin ロールは、割り当てられたデータセンターに対してのみ (ただし、そのデータセンター用のストレージは例外)、ClusterAdmin は割り当てられたクラスターに対してのみ管理者権限があります。
データセンター管理者は、特定のデータセンターのみを対象とするシステム管理者ロールです。これは、複数のデータセンターがある仮想化環境で、各データセンターに管理者が必要な場合に有用です。DataCenterAdmin ロールは階層モデルで、特定のデータセンターを対象とするデータセンター管理者ロールを割り当てられたユーザーは、そのデータセンター内のストレージを除く全オブジェクトを管理することができます。仮想化環境内の全データセンターにデータセンター管理者を割り当てるには、ヘッダーバーの 設定 ボタンを使用してください。
データセンター管理者ロールは、以下のアクションを許可します。
- データセンターに関連付けられたクラスターの作成/削除
- データセンターに関連付けられたホスト、仮想マシン、プールの作成/削除
- データセンターに関連付けられた仮想マシンのユーザーパーミッションの編集
ロールとパーミッションは、既存のユーザーにしか割り当てることができません。
また、既存のシステム管理者を削除して、新規システム管理者を追加することによって、データセンターのシステム管理者を変更することができます。
1.2.8. データセンター管理者ロール
データセンターに対するパーミッションがあるロール
以下の表には、データセンターの管理に適用可能な管理者のロールと権限についての説明をまとめています。
| ロール | 権限 | 備考 |
|---|---|---|
|
DataCenterAdmin |
データセンター管理者 |
ストレージを除く、特定のデータセンター内の全物理/仮想リソース (クラスター、ホスト、テンプレート、仮想マシンを含む) を使用、作成、削除、管理することができます。 |
|
NetworkAdmin |
ネットワーク管理者 |
特定のデータセンターのネットワークを設定、管理できます。データセンターのネットワーク管理者は、データセンター内の仮想マシンに対するネットワークパーミッションも継承します。 |
1.2.9. クラスターに対するシステムパーミッションの管理
システム管理者は、SuperUser として管理ポータルの全側面を管理する管理者です。他のユーザーには、より特定的な管理者ロールを割り当てることができます。このような制限付きの管理者ロールは、特定のリソースに限定した特定の管理者権限をユーザーに付与する場合に有用です。たとえば、DataCenterAdmin ロールは、割り当てられたデータセンターに対してのみ (ただし、そのデータセンター用のストレージは例外)、ClusterAdmin は割り当てられたクラスターに対してのみ管理者権限があります。
クラスター管理者は、特定のクラスターのみを対象とするシステム管理者ロールです。これは、複数のクラスターがあるデータセンターで、各クラスターにシステム管理者が必要な場合に有用です。ClusterAdmin ロールは階層モデルで、特定のクラスターを対象とするクラスター管理者ロールを割り当てられたユーザーは、そのクラスター内の全オブジェクトを管理することができます。環境内の全クラスターにクラスター管理者を割り当てるには、ヘッダーバーの 設定 ボタンを使用してください。
クラスター管理者ロールは、以下のアクションを許可します。
- 関連付けられたクラスターの作成/削除
- クラスターに関連付けられたホスト、仮想マシン、プールの作成/削除
- クラスターに関連付けられた仮想マシンのユーザーパーミッションの編集
ロールとパーミッションは、既存のユーザーにしか割り当てることができません。
また、既存のシステム管理者を削除して、新規システム管理者を追加することによって、クラスターのシステム管理者を変更することもできます。
1.2.10. クラスター管理者ロール
クラスターに対するパーミッションがあるロール
以下の表には、クラスターの管理に適用可能な管理者ロールと権限についての説明をまとめています。
| ロール | 権限 | 備考 |
|---|---|---|
|
ClusterAdmin |
クラスター管理者 |
特定のクラスター内の全物理/仮想リソース (ホスト、テンプレート、仮想マシンを含む) を使用、作成、削除、管理することができます。クラスター内のネットワークプロパティーを設定することができます (ディスプレイネットワークの指定、ネットワークを必須または任意にマークするなど)。 ただし、ClusterAdmin には、クラスターにネットワークをアタッチ/デタッチするパーミッションはありません。この操作を行うには、NetworkAdmin パーミッションが必要です。 |
|
NetworkAdmin |
ネットワーク管理者 |
特定のクラスターのネットワークを設定、管理できます。クラスターのネットワーク管理者はクラスター内の仮想マシンに対するネットワークパーミッションも継承します。 |
1.2.11. ネットワークに対するシステムパーミッションの管理
システム管理者は、SuperUser として管理ポータルの全側面を管理する管理者です。他のユーザーには、より特定的な管理者ロールを割り当てることができます。このような制限付きの管理者ロールは、特定のリソースに限定した特定の管理者権限をユーザーに付与する場合に有用です。たとえば、DataCenterAdmin ロールは、割り当てられたデータセンターに対してのみ (ただし、そのデータセンター用のストレージは例外)、ClusterAdmin は割り当てられたクラスターに対してのみ管理者権限があります。
ネットワーク管理者は、特定のネットワークに対して適用したり、データセンター、クラスター、ホスト、仮想マシン、またはテンプレート上の全ネットワークに対して適用したりすることができるシステム管理ロールです。ネットワークユーザーは、特定の仮想マシンやテンプレート上のネットワークの表示やアタッチなどの限定された管理ロールを実行することができます。環境内の全ネットワークにネットワーク管理者を割り当てるには、ヘッダーバーの 設定 ボタンを使用してください。
ネットワーク管理者ロールは、以下のアクションを許可します。
- ネットワークの作成/編集/削除
- ポートミラーリングの設定などのネットワーク設定の編集
- クラスターおよび仮想マシンを含むリソースへのネットワークのアタッチ/デタッチ
ネットワークを作成したユーザーには、作成したネットワークに対する NetworkAdmin パーミッションが自動的に割り当てられます。また、既存の管理者を削除して、新規管理者を追加することによって、ネットワークの管理者を変更することもできます。
1.2.12. ネットワーク管理者およびユーザーロール
ネットワークに対するパーミッションがあるロール
以下の表には、ネットワークの管理に適用可能な管理者とユーザーのロールと権限についての説明をまとめています。
| ロール | 権限 | 備考 |
|---|---|---|
|
NetworkAdmin |
データセンター、クラスター、ホスト、仮想マシン、またはテンプレートのネットワーク管理者。ネットワークを作成したユーザーには、作成したネットワークに対する NetworkAdmin パーミッションが自動的に割り当てられます。 |
特定のデータセンター、クラスター、ホスト、仮想マシン、またはテンプレートのネットワークを設定管理することができます。データセンターまたはクラスターのネットワーク管理者は、クラスター内の仮想プールのネットワークパーミッションを継承します。仮想マシンネットワークにポートミラーリングを設定するには、そのネットワークに対する NetworkAdmin ロールと、仮想マシンに対する UserVmManager ロールを適用します。 |
|
VnicProfileUser |
仮想マシンおよびテンプレートの論理ネットワークおよびネットワークインターフェースのユーザー |
特定の論理ネットワークにネットワークインターフェースをアタッチ/デタッチできます。 |
1.2.13. ホストに対するシステムパーミッションの管理
システム管理者は、SuperUser として管理ポータルの全側面を管理する管理者です。他のユーザーには、より特定的な管理者ロールを割り当てることができます。このような制限付きの管理者ロールは、特定のリソースに限定した特定の管理者権限をユーザーに付与する場合に有用です。たとえば、DataCenterAdmin ロールは、割り当てられたデータセンターに対してのみ (ただし、そのデータセンター用のストレージは例外)、ClusterAdmin は割り当てられたクラスターに対してのみ管理者権限があります。
ホスト管理者は、特定のホストのみを対象とするシステム管理者ロールです。これは、複数のホストで構成されるクラスターで、各ホストにシステム管理者が必要な場合に有用です。環境内の全ホストにホスト管理者を割り当てるには、ヘッダーバーの 設定 ボタンを使用してください。
ホスト管理者ロールは、以下のアクションを許可します。
- ホストの設定の編集
- 論理ネットワークの設定
- ホストの削除
既存のシステム管理者を削除して新規システム管理者を追加することにより、ホストのシステム管理者を変更することも可能です。
1.2.14. ホスト管理者ロール
ホストに対するパーミッションがあるロール
以下の表には、ホストの管理に適用可能な管理者のロールと権限についての説明をまとめています。
| ロール | 権限 | 備考 |
|---|---|---|
|
HostAdmin |
ホスト管理者 |
特定のホストの設定、管理、削除ができます。また、特定のホストに対するネットワーク関連の操作を行うこともできます。 |
1.2.15. ストレージドメインに対するシステムパーミッションの管理
システム管理者は、SuperUser として管理ポータルの全側面を管理する管理者です。他のユーザーには、より特定的な管理者ロールを割り当てることができます。このような制限付きの管理者ロールは、特定のリソースに限定した特定の管理者権限をユーザーに付与する場合に有用です。たとえば、DataCenterAdmin ロールは、割り当てられたデータセンターに対してのみ (ただし、そのデータセンター用のストレージは例外)、ClusterAdmin は割り当てられたクラスターに対してのみ管理者権限があります。
ストレージ管理者は、特定のストレージドメインのみを対象とするシステム管理者ロールです。これは、複数のストレージドメインを使用するデータセンターで、各ストレージドメインにシステム管理者が必要な場合に有用です。環境内の全ストレージドメインにストレージ管理者を割り当てるには、ヘッダーバーの 設定 ボタンを使用してください。
ストレージ管理者ロールは、以下のアクションを許可します。
- ストレージドメインの設定の編集
- ストレージドメインのメンテナンスモードへの切り替え
- ストレージドメインの削除
ロールとパーミッションは、既存のユーザーにしか割り当てることができません。
また、既存のシステム管理者を削除して、新規システム管理者を追加することによって、ストレージドメインのシステム管理者を変更することができます。
1.2.16. ストレージ管理者ロール
ストレージドメインに対するパーミッションがあるロール
以下の表には、ストレージドメインの管理に適用可能な管理者のロールと権限についての説明をまとめています。
| ロール | 権限 | 備考 |
|---|---|---|
|
StorageAdmin |
ストレージ管理者 |
特定のストレージドメインを作成/削除/設定/管理できます。 |
|
GlusterAdmin |
Gluster ストレージ管理者 |
Gluster ストレージボリュームを作成/削除/設定/管理できます。 |
1.2.17. 仮想マシンプールに対するシステムパーミッションの管理
システム管理者は、SuperUser として管理ポータルの全側面を管理する管理者です。他のユーザーには、より特定的な管理者ロールを割り当てることができます。このような制限付きの管理者ロールは、特定のリソースに限定した特定の管理者権限をユーザーに付与する場合に有用です。たとえば、DataCenterAdmin ロールは、割り当てられたデータセンターに対してのみ (ただし、そのデータセンター用のストレージは例外)、ClusterAdmin は割り当てられたクラスターに対してのみ管理者権限があります。
仮想マシンプール管理者は、データセンター内の仮想マシンプールの管理ロールです。このロールは、特定の仮想マシンプール、データセンター、または仮想化環境全体に適用することができるので、異なるユーザーが特定の仮想マシンプールのリソースを管理する場合に有用です。
仮想マシンプール管理者ロールは、以下のアクションを許可します。
- プールの作成/編集/削除
- プールへの仮想マシン追加/プールからの仮想マシンのデタッチ
ロールとパーミッションは、既存のユーザーにしか割り当てることができません。
1.2.18. 仮想マシンプールの管理者ロール
プールに対するパーミッションがあるロール
以下の表には、プールの管理に適用可能な管理者のロールと権限についての説明をまとめています。
| ロール | 権限 | 備考 |
|---|---|---|
|
VmPoolAdmin |
仮想プールのシステム管理者ロール |
仮想プールの作成/削除/設定、仮想プールユーザーの割り当て/削除、および仮想マシンに対する基本操作ができます。 |
|
ClusterAdmin |
クラスター管理者 |
特定のクラスター内の全仮想マシンプールを作成、削除、管理することができます。 |
1.2.19. 仮想ディスクに対するシステムパーミッションの管理
システム管理者は、SuperUser として管理ポータルの全側面を管理する管理者です。他のユーザーには、より特定的な管理者ロールを割り当てることができます。このような制限付きの管理者ロールは、特定のリソースに限定した特定の管理者権限をユーザーに付与する場合に有用です。たとえば、DataCenterAdmin ロールは、割り当てられたデータセンターに対してのみ (ただし、そのデータセンター用のストレージは例外)、ClusterAdmin は割り当てられたクラスターに対してのみ管理者権限があります。
Red Hat Virtualization Manager は、デフォルトの仮想ディスクユーザーロールを 2 タイプ提供していますが、デフォルトの仮想ディスク管理者ロールはありません。このユーザーロールの 1 つである DiskCreator ロールにより、VM ユーザーポータルから仮想ディスクの管理が行えるようになります。このロールは、特定の仮想マシン、データセンター、ストレージドメインだけでなく、仮想化環境全体に適用することができます。ユーザー別に異なる仮想リソースを管理できるようにするのに便利です。
仮想ディスクの作成者ロールは、以下のアクションを許可します。
- 仮想マシンや他のリソースに関連付けられた仮想ディスクの作成/編集/削除
- 仮想ディスクのユーザーパーミッションの編集
ロールとパーミッションは、既存のユーザーにしか割り当てることができません。
1.2.20. 仮想ディスクユーザーロール
仮想ディスクに対するユーザーパーミッションがあるロール
以下の表には、VM ユーザーポータルで仮想ディスクを使用および管理するのに適用可能なユーザーロールや権限についての説明をまとめています。
| ロール | 権限 | 備考 |
|---|---|---|
|
DiskOperator |
仮想ディスクのユーザー |
仮想ディスクの使用/表示/編集ができます。仮想ディスクがアタッチされた仮想マシンを使用するためのパーミッションを継承します。 |
|
DiskCreator |
割り当てられたクラスターまたはデータセンター内で仮想ディスクの作成/編集/管理/削除ができます。 |
このロールは特定の仮想ディスクに適用するのではなく、設定 ウィンドウを使用して環境全体でユーザーに適用するか、特定のデータセンター、クラスター、またはストレージドメインに適用します。 |
