Управление доступом на основе ролей для VMM
Члены ИТ-персонала отвечали за текущее управление, техническое обслуживание и ремонт всего, что связано с ИТ. Хотя такая ситуация все еще может существовать в некоторых небольших компаниях, она становится все менее распространенной. ИТ намного сложнее, чем когда-то, и ИТ-специалисты становятся все более специализированными. Вместо того, чтобы нести ответственность за все, что связано с ИТ, ИТ-специалисты обычно сосредотачиваются на конкретных задачах или технологиях.
Специализация ИТ требует нового подхода к разрешениям. ИТ-специалисты больше не получают полный, неограниченный доступ ко всему, чем владеет компания. Вместо этого доступ имеет тенденцию быть гораздо более разрозненным.
В некоторых случаях настройка разделенного доступа к ИТ-ресурсам может оказаться сложной задачей. В конце концов, некоторые инструменты управления разработаны с учетом того, что человек, который будет использовать этот инструмент, будет иметь соответствующий уровень разрешений. Однако в случае System Center Virtual Machine Manager можно делегировать административные полномочия с помощью управления доступом на основе ролей. Управление доступом на основе ролей позволяет администраторам настраивать консоль диспетчера виртуальных машин таким образом, чтобы ИТ-персонал мог выполнять делегированные им обязанности, не предоставляя им при этом чрезмерных разрешений.
Чтобы настроить управление доступом на основе ролей в System Center 2016 Virtual Machine Manager, откройте консоль Virtual Machine Manager и выберите рабочую область «Параметры». Затем нажмите на контейнер User Roles, который вы можете видеть на рисунке ниже.
Управление доступом на основе ролей настраивается с помощью контейнера пользовательских ролей консоли.
Взглянув на рисунок выше, вы заметите, что экран «Роли пользователей» содержит столбцы с пометками «Имя», «Описание», «Тип профиля» и «Роль родительского пользователя». Прямо сейчас на этом экране есть только одна запись — роль администратора.
Роль администратора — это просто роль. Это не аккаунт. Простой способ представления роли в Virtual Machine Manager состоит в том, что она похожа на группу безопасности. Как и в группе безопасности, членам назначается роль, и этим членам предоставляются разрешения, соответствующие назначению роли.
Если вы посмотрите на рисунок ниже, вы увидите экран свойств для роли администратора. Вкладка Имя и описание экрана выбрана по умолчанию. Эта вкладка содержит имя роли (Администратор), описание роли, профиль роли пользователя и описание профиля. Если вам интересно, профиль роли пользователя определяет, что могут и что не могут делать члены роли.
На вкладке «Имя и описание» представлена основная информация о роли.
Диалоговое окно свойств роли также содержит вкладку «Участники», которую вы можете видеть на рисунке ниже. Члены роли наследуют разрешения, существующие в профиле роли пользователя.
Учетные записи пользователей назначаются роли в качестве членов роли.
Тема профилей ролей пользователей поднималась в этой статье пару раз, и все же, если вы посмотрите на самый первый рисунок в этой статье, вы заметите, что рабочая область «Настройки» не включает контейнер для профилей ролей пользователей. Это связано с тем, что профили ролей пользователей жестко закодированы в диспетчере виртуальных машин, и их нельзя настроить. Как администратор, вы можете создавать и редактировать роли пользователей, а профили ролей пользователей можно назначать ролям пользователей, но вы не можете редактировать сами профили ролей пользователей.
Роль администратора, которую я показал вам минуту назад, по умолчанию встроена в Virtual Machine Manager. Если вы хотите создать дополнительные роли пользователей, вы можете сделать это, выбрав контейнер «Роли пользователей» и нажав кнопку «Создать роль пользователя». Это приводит к тому, что диспетчер виртуальных машин запускает мастер создания роли пользователя.
На первом экране мастера вам будет предложено ввести имя и необязательное описание роли, которую вы создаете. Рекомендуется ввести осмысленное описание, в котором точно разъясняется, почему существует роль и что членам роли будет разрешено делать.
Нажмите «Далее», и вы попадете на экран «Профиль» мастера. На экране «Профиль», показанном на следующем рисунке, перечислены профили ролей пользователей, встроенные в Virtual Machine Manager. Роль пользователя, которую вы создаете, будет иметь те же возможности, что и профиль, который вы связываете с этой ролью. Доступные профили включают в себя:
• Администратор структуры (уполномоченный администратор) — Уполномоченный администратор может выполнять все задачи в пределах назначенной области, но не может добавлять или удалять пользователей из роли администратора.
• Администратор только для чтения. Администратор только для чтения может просматривать консоль диспетчера виртуальных машин, но не может создавать или изменять какие-либо объекты. Эта роль обычно используется в учебных целях.
• Администратор арендатора — Администратор арендатора имеет административные разрешения для своей собственной области развертывания с несколькими арендаторами. У них также есть возможность управлять пользователями самообслуживания.
• Администратор приложения (пользователь самообслуживания) — администратор приложения похож на администратора арендатора в том, что он, по сути, является администратором определенного набора ресурсов в многопользовательской среде. Они могут создавать виртуальные машины и службы и управлять ими, но не могут управлять пользователями самообслуживания.
Это доступные профили ролей пользователей.
Нажмите «Далее», и вы попадете на экран «Члены» мастера. Этот экран позволяет добавлять пользователей к роли. Конечно, у вас также есть возможность добавлять или удалять участников позже.
Следующий экран, который вы увидите, — это экран Scope. Экран Scope позволяет определить, какими объектами смогут управлять члены роли. Вы сможете определить область только в том случае, если VMM подготовлен с несколькими облаками.
Нажмите «Далее», и мастер отобразит экран «Сеть». На этом экране можно выбрать сети виртуальных машин, которые разрешено использовать членам роли. Точно так же экран «Ресурсы», который является следующим экраном, отображаемым мастером, позволяет указать ресурсы, которые разрешено использовать членам роли.
Нажмите «Далее», и вы увидите экран «Разрешения» мастера. Ранее я объяснял, что профиль роли пользователя — это механизм, определяющий, что разрешено делать членам роли. Хотя это утверждение верно, можно настроить разрешения на более детальном уровне. Профиль роли пользователя состоит из набора разрешений. Экран «Разрешения», который вы можете видеть ниже, дает вам возможность включать или отключать отдельные разрешения в наборе разрешений профиля роли пользователя.
Вы можете назначать детализированные разрешения роли пользователя.
Нажмите «Далее», и вы увидите сводку параметров конфигурации, которые вы выбрали для новой роли. Если информация на экране «Сводка» выглядит хорошо, вы можете нажать «Готово», чтобы создать роль.
Вывод
Управление доступом на основе ролей полезно в ситуациях, когда администратор хочет делегировать определенную административную задачу или набор задач. При этом модель разрешений настроена таким образом, что пользователям могут быть предоставлены очень детализированные наборы разрешений.