6.8. 仮想マシンとパーミッション
6.8.1. 仮想マシンのシステムパーミッションの管理
システム管理者は SuperUser として、管理ポータルをあらゆる面から管理します。他のユーザーに特定の管理ロールを割り当てることができます。このような制限付き管理者ロールは、特定のリソースに限定して管理者権限をユーザーに付与する際に役立ちます。たとえば、DataCenterAdmin ロールは、割り当てられたデータセンターに対する権利者権限のみ (そのデータセンターのストレージを除く) を持ち、ClusterAdmin は割り当てられたクラスターに対する管理者権限のみを持ちます。
UserVmManager は、データセンター内の仮想マシンのシステム管理のロールです。このロールは、特定の仮想マシン、データセンター、または仮想化環境全体に適用できます。これは、異なるユーザーが特定の仮想リソースを管理できるようにするのに役立ちます。
ユーザーの仮想マシンの管理者ロールは、以下のアクションを許可します。
- 仮想マシンの作成、編集、および削除。
- 仮想マシンの実行、一時停止、シャットダウン、および停止。
ロールやパーミッションは、既存のユーザーにのみ割り当てることができます。
仮想化環境での仮想マシンのリソースだけを考慮するエンドユーザーが多いので、Red Hat Virtualization は、ユーザーが仮想マシンを詳細に管理できるようにユーザーロールを複数提供しますが、データセンター内の他のリソースは管理できません。
6.8.2. 仮想マシン管理者ロールの概要
以下の表は、仮想マシン管理に適用される管理者ロールおよび権限について説明しています。
| ロール | 権限 | 注記 |
|---|---|---|
| DataCenterAdmin | データセンター管理者 | 特定のデータセンターの下にある、ストレージを除くすべてのオブジェクトの管理権限を持ちます。 |
| ClusterAdmin | クラスター管理者 | 特定のクラスター下にある全オブジェクトの管理権限を持ちます。 |
| NetworkAdmin | ネットワーク管理者 | 特定の論理ネットワークの全操作に対して、管理者権限があります。仮想マシンにアタッチされたネットワークを設定して管理できます。仮想マシンのネットワークにポートミラーリングを設定するには、ネットワークに NetworkAdmin ロールを、仮想マシンに UserVmManager ロールを適用します。 |
6.8.3. 仮想マシンのユーザーロールの説明
次の表は、仮想マシンユーザーに適用可能なユーザーのロールと権限を示しています。これらのロールは、仮想マシンの管理およびアクセス用の VM ポータルにアクセスできますが、管理ポータルのパーミッションはありません。
| ロール | 権限 | 注記 |
|---|---|---|
| UserRole | 仮想マシンおよびプールへのアクセスと使用が可能。 | VM ポータルにログインして、仮想マシンとプールを使用できます。 |
| PowerUserRole | 仮想マシンおよびテンプレートの作成と管理が可能。 | Configure ウィンドウで、このロールを環境全体のユーザー、または特定のデータセンターやクラスターのユーザーに適用します。たとえば、PowerUserRole がデータセンターレベルに適用されると、PowerUser はデータセンターで仮想マシンおよびテンプレートを作成できます。PowerUserRole は、VmCreator、DiskCreator、およびTemplateCreatorのロールを割り当てることと同じです。 |
| UserVmManager | 仮想マシンのシステム管理者。 | 仮想マシンの管理、スナップショットの作成と使用が可能。VM ポータルで仮想マシンを作成したユーザーには、そのマシンの UserVmManager ロールが自動的に割り当てられます。 |
| UserTemplateBasedVm | テンプレートのみを使用できる限定的な権限。 | テンプレートを使用して仮想マシンを作成するための権限のレベル。 |
| VmCreator | VM ポータルで仮想マシンを作成できる。 | このロールは特定の仮想マシンには適用されません。Configure ウィンドウで環境全体のユーザーにこのロールを適用します。このロールをクラスターに適用する場合、データセンター全体または特定のストレージドメインに DiskCreator ロールを適用する必要もあります。 |
| VnicProfileUser | 仮想マシンの論理ネットワークおよびネットワークインターフェイスユーザー。 | 論理ネットワークの作成時にAllow all users to use this Network オプションが選択されている場合に、VnicProfileUser パーミッションが論理ネットワークのすべてのユーザーに割り当てられます。その後、ユーザーは仮想マシンネットワークインターフェイスを論理ネットワークにアタッチしたり、論理ネットワークからデタッチしたりできます。 |
6.8.4. ユーザーへの仮想マシンの割り当て
自分以外のユーザー向けに仮想マシンを作成する場合は、ユーザーが仮想マシンを使用する前に、ユーザーにロールを割り当てる必要があります。権限は既存のユーザーにのみ割り当てることができる点に注意してください。ユーザーアカウントの作成の詳細は、管理ガイドの ユーザーとロール を参照してください。
VM ポータルは、User、PowerUser、および UserVmManager の 3 つのデフォルトのロールをサポートしています。ただし、カスタマイズされたロールは、管理ポータルを介して設定できます。デフォルトのロールを以下に説明します。
- User は仮想マシンに接続して使用できます。このロールは、日常のタスクを実行するデスクトップエンドユーザーに適しています。
- PowerUserは、仮想マシンを作成し、仮想リソースを閲覧できます。このロールは、従業員に仮想リソースを割り当てる必要のある管理者またはマネージャーに適しています。
- UserVmManagerは、仮想マシンの編集と削除、ユーザー権限の割り当て、スナップショットの使用、およびテンプレートの使用を行うことができます。仮想環境の設定を変更する必要がある場合に適しています。
仮想マシンを作成すると、UserVmManager 権限が自動的に継承されます。これにより、仮想マシンに変更を加えて、管理するユーザー、または Identity Management (IdM) または RHDS グループに属するユーザーにパーミッションを割り当てることができます。詳細は、管理ガイド を参照してください。
手順
-
をクリックし、仮想マシンを選択します。 - 仮想マシンの名前をクリックして、詳細ビューに移動します。
- Permissions タブをクリックします。
- をクリックします。
- Search テキストボックスに名前、ユーザー名、またはその一部を入力し、Go をクリックします。一致する候補の一覧が結果リストに表示されます。
- 権限を割り当てるユーザーのチェックボックスを選択します。
- Role to Assign ドロップダウンリストから UserRole を選択します。
- をクリックします。
この仮想マシンへのアクセスを許可されているユーザーのリストに、ユーザーの名前とロールが表示されます。
ユーザーに仮想マシン 1 台だけのパーミッションが割り当てられている場合は、仮想マシンにシングルサインオン (SSO) を設定できます。シングルサインオンを有効にすると、ユーザーが VM ポータルにログインし、SPICE コンソールなどを介して仮想マシンに接続すると、ユーザーは仮想マシンに自動的にログインされるので、もう一度ユーザー名とパスワードを入力する必要はありません。シングルサインオンは、仮想マシンごとに有効または無効にできます。仮想マシンのシングルサインオンを有効または無効にする方法は、仮想マシンのシングルサインオンの設定 を参照してください。
6.8.5. ユーザーからの仮想マシンへのアクセスの削除
ユーザーからの仮想マシンへのアクセスの削除
-
をクリックします。 - 仮想マシンの名前をクリックして、詳細ビューに移動します。
- Permissionsをクリックします。
- をクリックします。選択した権限削除の確定を求める警告メッセージが表示されます。
- 続行するには、 をクリックします。中止するには、Cancel をクリックします。
