役割ベースのアクセス制御の基本的な⼿順

In document Citrix XenServer 7.5 管理者ガイド 発 2018年5 1.0 エディション (Page 31-34)

役割ベースのアクセス制御を有効にしてユーザーやグループに役割を割り当てるには、以下の⼿順を

⾏います。

1. ドメインに参加する。リソースプールの外部認証を有効にするを参照してください。

2. Active Directoryのユーザーまたはグループをプールに追加する。追加したユーザーやグループは サブジェクトになります。項2.2.3.3. 「RBACにサブジェクトを追加するには」を参照してくださ い。

3. サブジェクトにRBACの役割を割り当てる(または変更する)。項2.2.3.4. 「新しいサブジェクト

にRBACの役割を割り当てるには」を参照してください。

2.2.1. 役割

XenServerには、以下の6つの役割が⽤意されています。

プール管理者(Pool Admin)︓ ローカルスーパーユーザー(root)と同レベルの管理者 で、XenServerに対する完全なアクセス権が付与されます。

注︓

ローカルスーパーユーザー(root)には、常にプール管理者の役割が適⽤されま す。つまり、プール管理者にはローカルスーパーユーザーと同じ権限が設定されま す。

プールオペレータ(Pool Operator)︓ 管理者ユーザーを追加/削除したり役割を変更したりする ことはできませんが、そのほかのすべての管理タスクを実⾏できます。ホストやプールの管理(ス トレージの作成、プールの作成、ホストの管理など)に特化した役割です。

仮想マシンパワー管理者(VM Power Admin)︓ 仮想マシンを作成して管理できます。仮想マシ ンオペレータに仮想マシンを提供することに特化した役割です。

仮想マシン管理者(VM Admin)︓仮想マシンパワー管理者に似ていますが、仮想マシンを移⾏し たりスナップショットを作成したりすることはできません。

仮想マシンオペレータ(VM Operator)︓仮想マシン管理者に似ていますが、仮想マシンを作成し たり破棄したりすることはできません。ただし、ライフサイクル操作を開始したり終了したりする ことは許可されます。

読み取りのみ(Read Only)︓ リソースプールとパフォーマンスのデータを表⽰することしかでき ません。

注︓

このバージョンのXenServerでは、独⾃の役割を追加したり、既存の役割を削除し たりすることはできません。

警告︓

Active Directoryグループにプール管理者の役割を割り当ててホストへのSSHアク セスを許可する場合、そのActive Directoryグループのメンバ数は500以下である 必要があります。

各役割で許可されるタスクについて詳しくは、項2.2.2. 「RBAC役割の定義とアクセス権」を参照し てください。

XenServerで管理者ユーザーを作成した後で役割を割り当てないと、そのアカウントは使⽤できませ ん。XenServer によって役割が⾃動的に割り当てられないことに注意してください。このため、こ れらのユーザーにXenServerリソースプールへのアクセスを許可するには、いずれかの役割を割り当 てる必要があります。

ユーザーの役割を変更するには、以下の2つの⽅法があります。

1. サブジェクトに割り当てる役割を変更します。これを⾏うには「役割の割り当て/変更」権限が必 要であり、この権限はプール管理者のみに付与されます。

2. そのユーザーのグループメンバシップを変更して、必要な役割が割り当てられているActive Directoryグループにユーザーを追加します。

2.2.2. RBAC役割の定義とアクセス権

XenServerの各役割に付与されるアクセス権(実⾏可能な管理タスク)は以下のとおりです。各アク セス権について詳しくは、後述の「アクセス権の定義」を参照してください。

表 2.1. 各役割に付与されるアクセス権

アクセス権 プール

管理者 プールオ

ペレータ VMパワー

管理者 VM管

理者 VMオペ

レータ 読み取 り専⽤

役割の割り当て/変更 ○ 物理サーバーのコンソールへ のログイン(SSHおよび XenCenterの使⽤)

サーバーのバックアップ/復

元 ○

アクセス権 プール

管理者 プールオ

ペレータ VMパワー

管理者 VM管

理者 VMオペ

レータ 読み取 り専⽤

OVF/OVAパッケージとディ スクイメージのインポート/

エクスポート

ソケットごとのコア数の設定 ○ ○ ○ ○

XenServer Conversion Managerによる仮想マシンの 変換

スイッチポートのロック ○ ○ 接続中のユーザーのログアウ

ト ○ ○

アラートの作成と解除 ○ ○

任意のユーザーのタスクの

キャンセル ○ ○

プール管理 ○ ○

XenMotion ○ ○ ○

ストレージXenMotion ○ ○ ○

⾼度な仮想マシン操作 ○ ○ ○

仮想マシンの作成/破棄操作 ○ ○ ○ ○

仮想マシンのCDメディアの

変更 ○ ○ ○ ○ ○

仮想マシンの電源状態の変更 ○ ○ ○ ○ ○

仮想マシンコンソールの表⽰ ○ ○ ○ ○ ○

XenCenter の表⽰管理操作 ○ ○ ○ ○ ○

⾃分のタスクのキャンセル ○ ○ ○ ○ ○ ○

監査ログの表⽰ ○ ○ ○ ○ ○ ○

プールへの接続およびすべて のプールメタデータの読み取 り

○ ○ ○ ○ ○ ○

仮想GPUの構成 ○ ○

仮想GPU構成の表⽰ ○ ○ ○ ○ ○ ○

構成ドライブへのアクセス

(CoreOS VMのみ) ○

コンテナ管理 ○

In document Citrix XenServer 7.5 管理者ガイド 発 2018年5 1.0 エディション (Page 31-34)