6.8. 仮想マシンとパーミッション
6.8.1. 仮想マシンのシステムパーミッションの管理
システム管理者は、SuperUser として管理ポータルの全側面を管理する管理者です。他のユーザーには、より特定的な管理者ロールを割り当てることができます。このような制限付きの管理者ロールは、特定のリソースに限定した特定の管理者権限をユーザーに付与する場合に有用です。たとえば、DataCenterAdmin ロールは、割り当てられたデータセンターに対してのみ (ただし、そのデータセンター用のストレージは例外)、ClusterAdmin は割り当てられたクラスターに対してのみ管理者権限があります。
UserVmManager は、データセンター内の仮想マシンの管理ロールです。このロールは、特定の仮想マシン、データセンター、または仮想化環境全体に適用することができるので、ユーザーによって異なる仮想マシンリソースを管理できるようにする場合に有用です。
ユーザーの仮想マシン管理者ロールは、以下のアクションを実行することができます。
- 仮想マシンの作成/編集/削除
- 仮想マシンの実行/一時停止/シャットダウン/停止
ロールとパーミッションは、既存のユーザーにしか割り当てることができません。
エンドユーザーの多くは、仮想化環境の仮想マシンリソースにのみ関与しています。このため、Red Hat Virtualization では、ユーザーが仮想マシンを専用に (データセンター内の他のリソースは対象外) 管理できるようにするためのユーザーロールを複数提供しています。
6.8.2. 仮想マシン管理者ロール
以下の表には、仮想マシンの管理に適用可能な管理者のロールと権限についての説明をまとめています。
表6.1 Red Hat Virtualization のシステム管理者ロール
ロール | 権限 | 備考 |
---|---|---|
DataCenterAdmin |
データセンター管理者 |
ストレージを除く特定のデータセンター下の全オブジェクトに対する管理者パーミッションがある。 |
ClusterAdmin |
クラスター管理者 |
特定のクラスター下の全オブジェクトに対する管理者パーミッションがある。 |
NetworkAdmin |
ネットワーク管理者 |
特定の論理ネットワーク上の全操作に対する管理者パーミッションがある。仮想マシンにアタッチされたネットワークを設定/管理することができる。仮想マシンネットワークにポートミラーリングを設定するには、ネットワークに対する NetworkAdmin ロールと、仮想マシンに対する UserVmManager ロールを適用。 |
6.8.3. 仮想マシンのユーザーロール
以下の表には、仮想マシンのユーザーに適用可能なユーザーのロールおよび権限についての説明をまとめています。これらのロールでは、仮想マシンの管理やアクセスのために VM ユーザーポータルへアクセスすることができますが、管理ポータルへのパーミッションは付与されません。
表6.2 Red Hat Virtualization のシステムユーザーロール
ロール | 権限 | 備考 |
---|---|---|
UserRole |
仮想マシンとプールへのアクセスと使用が可能 |
VM ユーザーポータルにログインして仮想マシンやプールを使用できる。 |
PowerUserRole |
仮想マシンおよびテンプレートの作成と管理が可能 |
このロールをユーザーに適用するには、設定 ウィンドウを使用して環境全体を対象とするか、特定のデータセンターまたはクラスターを対象とする。たとえば、PowerUserRole がデータセンターレベルで適用されると、PowerUser はそのデータセンター内で仮想マシンおよびテンプレートを作成することができる。PowerUserRole が適用されると、VmCreator、DiskCreator、および TemplateCreator のロールが適用されているのに相当する。 |
UserVmManager |
仮想マシンのシステム管理者 |
仮想マシンを管理し、スナップショットを作成および使用できる。VM ユーザーポータル内で仮想マシンを作成したユーザーには、そのマシンに対する UserVmManager ロールが自動的に割り当てられる。 |
UserTemplateBasedVm |
テンプレートのみを使用できる制限付き権限 |
テンプレートを使用して仮想マシンを作成できる権限レベル。 |
VmCreator |
VM ユーザーポータルで仮想マシンの作成が可能 |
このロールは特定の仮想マシンに適用するのではなく、設定 ウィンドウから環境全体を対象としてユーザーに適用。クラスターにこのロールを適用する場合には、データセンター全体、または特定のストレージドメインに対して DiskCreator ロールも適用する必要がある。 |
VnicProfileUser |
仮想マシンの論理ネットワークおよびネットワークインターフェースのユーザー |
論理ネットワークの作成時に 全ユーザーにこのネットワークの使用を許可する オプションを選択すると、その論理ネットワークの全ユーザーに対して VnicProfileUser パーミッションが割り当てられ、ユーザーは仮想マシンのネットワークインターフェースを論理ネットワークにアタッチ/デタッチすることができる。 |
6.8.4. ユーザーへの仮想マシン割り当て
自分以外のユーザー用に仮想マシンを作成する場合には、その仮想マシンを使用できるようにそのユーザーにロールを割り当てる必要があります。パーミッションを割り当てられるのは既存のユーザーのみである点に注意してください。ユーザーアカウント作成に関する詳しい情報は、『Red Hat Virtualization 管理ガイド』の「ユーザーとロール」を参照してください。
VM ユーザーポータルは、User、PowerUser、および UserVmManager の 3 つのデフォルトロールをサポートしています。ただし、ロールは、管理ポータルを通してカスタマイズ設定することも可能です。デフォルトのロールについては、以下に説明します。
- User は、仮想マシンに接続して、その仮想マシンを使用することができます。このロールは、日常的なタスクを実行するデスクトップのエンドユーザーに適しています。
- PowerUser は、仮想マシンを作成し、仮想リソースを表示することができます。このロールは、組織内のユーザーに仮想リソースを提供する必要のある管理者またはマネージャーに適しています。
- UserVmManager は仮想マシンの編集と削除、ユーザーパーミッションの割り当て、スナップショットおよびテンプレートの使用が可能です。仮想化環境の設定変更を行う必要があるユーザーに適しています。
仮想マシンを作成すると、UserVmManager の権限を自動的に継承します。これにより、仮想マシンに変更を加えたり、自分が管理しているユーザーや Identity Management (IdM) または RHDS グループ内のユーザーにパーミッションを割り当てたりすることができます。詳しい情報は、『管理ガイド』を参照してください。
ユーザーへのパーミッション割り当て
- → をクリックして仮想マシンを選択します。
- 仮想マシンの名前をクリックして、詳細ビューを表示します。
- パーミッション タブをクリックします。
- をクリックします。
- 検索 テキストボックスに名前もしくはユーザー名、またはその一部を入力し、検索 をクリックします。結果一覧に検索候補が表示されます。
- パーミッションを割り当てるユーザーのチェックボックスにチェックマークを付けます。
- 割り当てるロール のドロップダウンリストから UserRole を選択します。
- をクリックします。
この仮想マシンへのアクセスを許可されているユーザーのユーザー名とロールが表示されます。
1 台のみの仮想マシンへのパーミッションがユーザーに割り当てられている場合には、その仮想マシンに対してシングルサインオン (SSO) を設定することができます。シングルサインオンを有効にすると、VM ユーザーポータルにログインして、SPICE コンソールなどで仮想マシンに接続する際に、自動的に仮想マシンにログインされるため、ユーザー名とパスワードを再度入力する必要はありません。シングルサインオンは、仮想マシン単位で有効/無効にすることができます。仮想マシンのシングルサインオンの有効化/無効化についての詳しい情報は、「仮想マシンへのシングルサインオン (SSO) 設定」を参照してください。
6.8.5. 仮想マシンへのユーザーアクセスの削除
仮想マシンへのユーザーアクセスの削除
- → をクリックします。
- 仮想マシンの名前をクリックして、詳細ビューを表示します。
- パーミッション をクリックします。
- をクリックします。選択したパーミッションの削除を確認する警告メッセージが表示されます。
- 削除するには、キャンセル をクリックします。 をクリックします。中止するには、