Управление ролями пользователей

Ролевая модель платформы управляет доступом пользователей к функциям.

По умолчанию в платформе доступны преднастроенные роли: администратор, продвинутый пользователь и пользователь. Изменение настроек этих ролей недоступно. Подробнее о возможностях каждой роли см. в статье Уровни доступа.

Вы можете создать собственную (пользовательскую) роль с гибким разграничением доступа к возможностям платформы. Данная статья содержит описание ролевой модели платформы и инструкции по управлению ролями.

Ограничения функции

В текущей реализации рекомендуется использовать собственные роли для ознакомления с их возможностями и тестирования ролевого доступа к платформе.

Для работы ролевой модели необходим хотя бы один пользователь с преднастроенной ролью администратора. Это позволит восстановить доступ к платформе в случае недостаточного объёма прав для пользовательской роли. Если доступ к учётной записи администратора утрачен, обратитесь в техническую поддержку.

Терминология ролевой модели

Пользователь — любой субъект (в том числе и администратор), работающий с системой.

Администратор — привилегированный пользователь, имеющий права для настройки ролей.

Роль — совокупность объектов и прав.

Права (привилегии) — разрешения выполнять определённые действия с объектами.

Объект — управляемая сущность, на которую распространяются права. В VMmanager к объектам относятся виртуальные машины (ВМ), кластеры и системы.

Система — часть платформы, которая не подразумевает определение прав для отдельных объектов. В большинстве случаев, системы в VMmanager — это разделы платформы. Например, в настройках роли можно полностью запретить доступ к разделу Скрипты, но нельзя запретить доступ только к отдельным скриптам.

Преднастроенные роли — неизменяемые роли, существующие в платформе по умолчанию — администратор, продвинутый пользователь, пользователь.

Пользовательская роль — роль, созданная администратором.

Логика работы

Администратор может создавать, изменять и удалять только пользовательские роли. Изменение преднастроенных ролей не поддерживается.

Роли можно назначать конкретным пользователям или группам. Пользователю может быть назначена либо одна из преднастроенных ролей, либо одна и более пользовательских ролей. Если пользователю назначено несколько пользовательских ролей, то их права объединяются.

Для каждого объекта могут быть установлены следующие права:

разрешено — действие с объектом разрешено для участников этой роли;
не разрешено — состояние по умолчанию. Действие с объектом не разрешено для этой роли, но может быть выдано через другую роль. Например, если одна из ролей пользователя разрешает создание ВМ, а другая не разрешает, то пользователь сможет создавать ВМ;
запрещено — действие с объектом строго запрещено. Запрет имеет наивысший приоритет при объединении прав нескольких ролей. Например, если одна из ролей пользователя разрешает создание ВМ, а другая запрещает, то пользователь не сможет создавать ВМ.

Объекты и права, для которых настраивается роль:

Объекты	Права	Примечания
Кластеры	создание; просмотр и изменение настроек; удаление; добавление узлов; просмотр и изменение настроек узлов; запуск скриптов на узле; режим обслуживания узлов; удаление узлов.	Права могут быть выданы как для всех кластеров, так и для конкретных. Доступ к кластерам не подразумевает автоматического доступа к ВМ в этих кластерах. Он позволяет: просматривать и изменять настройки кластера; выбирать кластер при создании ВМ.
ВМ	базовые операции: переименование; изменение пароля; запуск и остановка; приостановка и возобновление работы; переустановка ОС; режим восстановления; подключение ISO-образа; запуск скрипта; создание снимка; создание образа; подключение по VNC; подключение по SPICE; продвинутые операции: клонирование; создание дисков; редактирование дисков; отключение дисков; управление сетями; управление снимками; управление образами; работа с IP-адресами; тонкие настройки; управление примечанием; административные операции: создание; удаление; миграция; настройки защиты; балансировщик; настройка подключений по VNC и SPICE.	Права могут выданы как для всех ВМ, так и для ВМ по определённым признакам: ВМ участника роли; ВМ из определённых кластеров; конкретные ВМ.
Системы	дашборд; раздел Скрипты; раздел Шаблоны; управление IP-адресами; раздел Виртуальные сети; раздел Пользователи; управление ролями; управление DNSBL; Grafana; Swagger; уведомления; список задач; настройки платформы (меню ); раздел Резервные копии.	Если доступ к разделу не разрешён или запрещён, то при переходе в этот раздел отобразится ошибка.

Управление ролями

Чтобы управлять ролями, перейдите в раздел Пользователи → вкладка Роли.

Интерфейс вкладки

Создание роли

Чтобы создать роль:

Нажмите кнопку Создать роль.
Введите Название роли.
Введите произвольное Описание роли.
Выберите объекты и права, которые будут доступны участникам этой роли:
1. В разделе Кластеры:
  1. Нажмите кнопку Выбрать кластеры.
  2. Выберите кластеры, которые должны быть доступны в роли:
    - Все кластеры платформы;
    - Выбранные кластеры → отметьте нужные кластеры в списке.
  3. Нажмите кнопку Применить (Выбрать).
2. В разделе Виртуальные машины:
  1. Нажмите кнопку Выберите VM.
  2. Выберите ВМ, которые должны быть доступны в роли:
    - Все VM платформы;
    - Выбранные VM:
      - Свои VM участника роли;
      - Все VM из кластеров → выберите кластеры;
      - Выбрать VM вручную → отметьте нужные ВМ в списке.
  3. Нажмите кнопку Выбрать.
3. Настройте права для каждого объекта:
  - по умолчанию для всех прав установлено значение "не разрешено" — значок ;
  - чтобы установить значение "разрешено", нажмите значок ;
  - чтобы установить значение "запрещено", нажмите значок ;
  - чтобы установить значение "разрешено" для всех прав, нажмите кнопку Разрешить все.
Нажмите кнопку Создать роль.

Изменение роли

Чтобы изменить настройки роли:

Выберите роль в левой части окна.
Откройте вкладку Настройки.
Внесите необходимые изменения.
Нажмите кнопку Сохранить.

Управление участниками роли

Чтобы управлять участниками роли, выберите роль в левой части окна и перейдите на вкладку Участники роли.

Чтобы назначить роль пользователям:

Откройте вкладку Пользователи.
Нажмите кнопку Добавить пользователя.
Выберите пользователей из списка.
Нажмите кнопку Добавить.

Вы не можете назначить роль для учётной записи, через которую авторизовались в платформе.

Чтобы исключить пользователя из роли, в строке с пользователем нажмите значок → Удалить из роли.

Чтобы назначить роль группам пользователей:

Откройте вкладку Группы пользователей.
Нажмите кнопку Добавить группу.
Выберите группы из списка.
Нажмите кнопку Добавить.

Чтобы исключить группу из роли, в строке с группой нажмите значок → Удалить из роли.

Удаление роли

Пользователи с единственной ролью не смогут авторизоваться в платформе после удаления их роли.

Чтобы удалить роль:

Выберите роль в левой части окна.
Перейдите на вкладку Настройки.
Нажмите кнопку Удалить.

Лог-файлы

Для выявления проблем в работе ролевой модели могут быть полезны логи сервисов:

автооризации auth — сохраняется в stdout контейнера auth;
управления ролями vmr — сохраняется в stdout контейнера vmr.

Может быть полезно

Связанные статьи: