アクセス権の定義

In document Citrix XenServer 7.5 管理者ガイド 発 2018年5 1.0 エディション (Page 34-44)

権限 許可されるタスク 説明 OVF/OVAパッケージとディス

クイメージのインポート/エク スポート

• OVFおよびOVAパッケージ のインポート

• ディスクイメージのイン ポート

• OVF/OVAパッケージとして のエクスポート

ソケットごとのコア数の設定 • 仮想マシンに割り当てる仮 想CPUのソケットごとのコ ア数の設定

仮想マシンの仮想CPUのトポ ロジを指定するための権限で す。

XenServer Conversion Managerによる仮想マシンの 変換

• VMware仮想マシンの XenServer仮想マシンへの 変換

VMwareの仮想マシンを XenServer⽤に変換できま す。これにより、VMwareの ワークロードをXenServer環 境に移⾏できます。

スイッチポートのロック • ネットワークトラフィック

の制御 特定のネットワーク上のトラ

フィックをすべてブロック

(デフォルト)したり、特定 のIPアドレス以外の送信トラ フィックをブロックしたりで きます。

接続中のユーザーのログアウ

ト • ログインしているユーザー

の切断

アラートの作成/解除 • リソースの使⽤量が特定の しきい値に達したときに XenCenterで⽣成されるア ラートの構成

• [アラート]ビューのすべ てのアラートの削除

警告︓プール全体のアラート の解除が許可されます。

注︓アラートの表⽰許可は、

プールへの接続およびすべて のプールメタデータの読み取 り権限に含まれます。

任意のユーザーのタスクの

キャンセル • 任意のユーザーによるタス

クのキャンセル だれが実⾏したタスクかにか かわらず、実⾏中の

XenServerタスクをキャンセ ルできます。

権限 許可されるタスク 説明 プール管理 • プールプロパティ(名前、

デフォルトSR)の設定

• ⾼可⽤性の有効化、無効 化、および構成

• 各仮想マシンの再起動優先 度の設定

• 障害回復の構成、フェイル オーバー、フェイルバッ ク、およびフェイルオー バーテストの実⾏

• ワークロードバランス

(WLB)の有効化、無効 化、および構成

• プールへのサーバーの追加 とプールからの削除

• メンバーのマスターへの変 換

• マスターアドレスの指定

• マスターアドレスのメン バーへの通知

• 新しいマスターの指定

• プールおよびサーバー証明 書の管理

• パッチの適⽤

• サーバープロパティの設定

• サーバーのログ機能の構成

• サーバーの有効化および無 効化

• サーバーのシャットダウ ン、再起動、および電源投

• ツールスタックの再起動

• システム状態のレポート

• ライセンスの適⽤

• すべての仮想マシンのほか のサーバー上へのライブマ イグレーション(保守モー ド、または⾼可⽤性での操 作)

• サーバーの管理インター フェイスおよびセカンダリ インターフェイスの設定

• サーバー管理の無効化

• クラッシュダンプの削除

• ネットワークの追加、変 更、および削除

• PBD/PIF/VLAN/ボンディン グ/ストレージリポジトリの

プール管理に必要なすべての タスクに対する許可が含まれ ます。

注︓管理インターフェイスが 機能していない場合、ローカ ルのrootでのログイン以外は認 証されません。

15

権限 許可されるタスク 説明 XenMotion • 2つのホストが共有するスト

レージ上にある仮想マシン を、1つのホストから別のホ ストに移⾏

ストレージXenMotion • 仮想マシンが2つのホスト間 で共有されているストレー ジ上にない場合、1つのホス トから別のホストに移⾏

• ストレージリポジトリ間で の仮想ディスク(VDI)の移 動

⾼度な仮想マシン操作 • 仮想マシンメモリの調整

(動的メモリ制御)

• メモリを含んだスナップ ショット作成、スナップ ショット作成、および仮想 マシンのロールバック

• 仮想マシンの移⾏

• 仮想マシンの起動(物理 サーバーの指定を含む)

• 仮想マシンの再開

XenServerにより選択された サーバーとは異なるサーバー 上での仮想マシンの起動操作 が許可されます。

仮想マシンの作成/破棄操作 • インストールまたは削除

• 仮想マシンの複製/コピー

• 仮想ディスク/CDデバイスの 追加、削除、および構成

• 仮想ネットワークデバイス の追加、削除、および構成

• XVAファイルのインポート/

エクスポート

• 仮想マシン構成の変更

サーバーのバックアップ/復元 仮想マシンの作成/破棄操作 注︓仮想マシン管理者の役割 では、XVAファイルを共有ス トレージリポジトリがある プールにのみインポートでき ます。仮想マシン管理者の役 割には、XVAファイルをホス トや共有ストレージのない プールにインポートする権限 はありません。

仮想マシンのCDメディアの変

更 • CDのイジェクト

• CDの挿⼊

OVF/OVAパッケージのイン ポート/エクスポートとディス クイメージのインポート 仮想マシンの電源状態の変更 • 仮想マシンの起動(⾃動配

置)

• 仮想マシンのシャットダウ ン

• 仮想マシンの再起動

• 仮想マシンのサスペンド

• 仮想マシンの再開(⾃動配 置)

サーバーを指定した仮想マシ ンの起動、再開、および移⾏

は⾼度な仮想マシン操作に含 まれ、このアクセス権では許 可されません。

権限 許可されるタスク 説明 仮想マシンコンソールの表⽰ • 仮想マシンコンソールの表

⽰と操作 サーバーコンソールにはアク

セスできません。

XenCenter の表⽰管理操作 • グローバルXenCenterフォ ルダの作成および変更

• XenCenterカスタムフィー ルドの作成および変更

• グローバルXenCenter検索 クエリの作成および変更

フォルダ、カスタムフィール ド、および検索クエリは、そ のプールにアクセスするすべ ての管理者ユーザーで共有さ れます。

⾃分のタスクのキャンセル • ⾃分で実⾏したタスクの キャンセル

監査ログの表⽰ • XenServer監査ログのダウ ンロード

プールへの接続およびすべて のプールメタデータの読み取 り

• プールへのログイン

• プールメタデータの表⽰

• パフォーマンスの履歴デー タの表⽰

• ログインユーザーの表⽰

• ユーザーおよび役割の表⽰

• メッセージの表⽰

• イベントの登録および受信 仮想GPUの構成 • プールレベルの割り当てポ

リシーの指定

• 仮想マシンへの仮想GPUの 割り当て

• 仮想マシンからの仮想GPU の割り当て解除

• 許可される仮想GPUの種類 の変更

• GPUグループの作成、破 棄、または割り当て 仮想GPU構成の表⽰ • GPU情報、GPUの割り当て

ポリシー、および仮想GPU の割り当ての表⽰

構成ドライブへのアクセス

(CoreOS VMのみ) • 仮想マシンの構成ドライ バーへのアクセス

• クラウド構成パラメーター の変更

権限 許可されるタスク 説明

コンテナ管理 • 起動

• 停⽌

• ⼀時停⽌

• 再開

• コンテナに関するアクセス 情報

スケジュールされたスナップ

ショット • 既存のスナップショットス

ケジュールに仮想マシンを 追加

• 既存のスナップショットス ケジュールから仮想マシン を削除

• スナップショットスケ ジュールを追加

• スナップショットスケ ジュールを変更

• スナップショットスケ ジュールを削除

ヘルスチェックの構成 • ヘルスチェックの有効化

• ヘルスチェックの無効化

• ヘルスチェック設定の更新

• サーバーの状態レポートの

⼿動アップロード ヘルスチェックの結果と設定

の表⽰ • ヘルスチェックのアップ

ロード結果の表⽰

• ヘルスチェックの登録設定 の表⽰

変更ブロック追跡の構成 • 変更ブロック追跡の有効化

• 変更ブロック追跡の無効化

• スナップショットに関連付 けられたデータを破棄して メタデータを保持

• VDIのNBD接続情報を取得

変更ブロック追跡は、ライセ ンスが適⽤されたXenServer Enterprise Editionインスタン スでのみ有効にできます。

変更ブロックの⼀覧作成 • 2つのVDIスナップショット を⽐較し、スナップショッ ト間で変更されたブロック の⼀覧を作成します。

権限 許可されるタスク 説明 PVSアクセラレータの構成 • PVSアクセラレータの有効化

• PVSアクセラレータの無効化

• (PVSアクセラレータ)

キャッシュ構成のアップ デート

• (PVSアクセラレータ)

キャッシュ構成の追加また は削除

PVSアクセラレータ構成の表⽰ • PVSアクセラレータの状態の 表⽰

注︓

読み取り専⽤の役割では、昇格⽤の資格情報を⼊⼒しても、XenCenterのフォルダ にリソースを移動できない場合があります。この問題が発⽣した場合は、より権限 の強いユーザーアカウントでXenCenterにログオンし直してから再試⾏してくださ い。

2.2.3. CLIによるRBACの使⽤

2.2.3.1. XenServerで使⽤可能な役割の⼀覧を表⽰するには

xe role-list

コマンドを実⾏します。

これにより、次のような、現在定義されている役割の⼀覧が表⽰されます。

uuid( RO): 0165f154-ba3e-034e-6b27-5d271af109ba name ( RO): pool-admin

description ( RO): The Pool Administrator role has full access to all features and settings, including accessing Dom0 and managing subjects, roles and external authentication

uuid ( RO): b9ce9791-0604-50cd-0649-09b3284c7dfd name ( RO): pool-operator

description ( RO): The Pool Operator role manages host- and pool-wide resources, including setting up storage, creating resource pools and managing patches, and high availability (HA).

uuid( RO): 7955168d-7bec-10ed-105f-c6a7e6e63249 name ( RO): vm-power-admin

description ( RO): The VM Power Administrator role has full access to VM and template management and can choose where to start VMs and use the dynamic memory control and VM snapshot features

uuid ( RO): aaa00ab5-7340-bfbc-0d1b-7cf342639a6e name ( RO): vm-admin

description ( RO): The VM Administrator role can manage VMs and templates

uuid ( RO): fb8d4ff9-310c-a959-0613-54101535d3d5 name ( RO): vm-operator

description ( RO): The VM Operator role can use VMs and interact with VM consoles

uuid ( RO): 7233b8e3-eacb-d7da-2c95-f2e581cdbf4e name ( RO): read-only

description ( RO): The Read-Only role can log in with basic read-only access

注︓

役割の⼀覧は固定的であり、追加、削除、および変更はできません。

2.2.3.2. 現在のサブジェクトの⼀覧を表⽰するには

xe subject-list

コマンドを実⾏します。

これにより、次のような、XenServerユーザー、UUID、および割り当てられている役割の⼀覧が表

⽰されます。

uuid ( RO): bb6dd239-1fa9-a06b-a497-3be28b8dca44

subject-identifier ( RO): S-1-5-21-1539997073-1618981536-2562117463-2244 other-config (MRO): subject-name: example01\user_vm_admin; subject-upn: \ user_vm_admin@XENDT.NET; subject-uid: 1823475908; subject-gid: 1823474177; \ subject-sid: S-1-5-21-1539997073-1618981536-2562117463-2244; subject-gecos: \ user_vm_admin; subject-displayname: user_vm_admin; subject-is-group: false; \ subject-account-disabled: false; subject-account-expired: false; \

subject-account-locked: false;subject-password-expired: false roles (SRO): vm-admin

uuid ( RO): 4fe89a50-6a1a-d9dd-afb9-b554cd00c01a

subject-identifier ( RO): S-1-5-21-1539997073-1618981536-2562117463-2245 other-config (MRO): subject-name: example02\user_vm_op; subject-upn: \ user_vm_op@XENDT.NET; subject-uid: 1823475909; subject-gid: 1823474177; \ subject-sid: S-1-5-21-1539997073-1618981536-2562117463-2245; \

subject-gecos: user_vm_op; subject-displayname: user_vm_op; \ subject-is-group: false; subject-account-disabled: false; \ subject-account-expired: false; subject-account-locked: \ false; subject-password-expired: false

roles (SRO): vm-operator

uuid ( RO): 8a63fbf0-9ef4-4fef-b4a5-b42984c27267

subject-identifier ( RO): S-1-5-21-1539997073-1618981536-2562117463-2242 other-config (MRO): subject-name: example03\user_pool_op; \

subject-upn: user_pool_op@XENDT.NET; subject-uid: 1823475906; \ subject-gid: 1823474177; subject-s id:

S-1-5-21-1539997073-1618981536-2562117463-2242; \

subject-gecos: user_pool_op; subject-displayname: user_pool_op; \ subject-is-group: false; subject-account-disabled: false; \ subject-account-expired: false; subject-account-locked: \ false; subject-password-expired: false

roles (SRO): pool-operator

2.2.3.3. RBACにサブジェクトを追加するには

既存のActive DirectoryユーザーにRBACの役割を割り当てるには、XenServerでそのユーザーアカ ウントまたは適切なグループアカウントのサブジェクトインスタンスを作成する必要があります。

1.

xe subject-add subject-name=<AD user/group>

コマンドを実⾏します。

これにより、新しいサブジェクトインスタンスが作成されます。

2.2.3.4. 新しいサブジェクトにRBACの役割を割り当てるには

サブジェクトを作成したら、それにRBACの役割を割り当てます。役割はUUIDまたは名前で指定し ます。

1. 次のコマンドを実⾏します。

xe subject-role-add uuid=<subject uuid> role-uuid=<role_uuid>

または

xe subject-role-add uuid=<subject uuid> role-name=<role_name>

In document Citrix XenServer 7.5 管理者ガイド 発 2018年5 1.0 エディション (Page 34-44)