Настройка групп доступа и пользователей в vCloud Director

Зачастую, виртуальная инфраструктура настолько сложна и структурирована, что управлять ею одному человеку становится довольно сложно. Поэтому необходимо несколько учетных записей с разными уровнями доступа для решения бизнес-процессов.

Портал vCloud Director позволяет провести данное гранулирование прав доступа через назначение ролей пользователям системы. Вы можете как воспользоваться стандартными в назначении ролями vCloud Director, так и создать свои, соответствующие вашим потребностям.

Для создания нового пользователя и назначения ему прав доступа необходимо перейти в консоли управления vCloud Director по следующему пути: Administration -> Access Control -> Users -> New

В данном окне вы можете задать имя пользователя, пароль, активировать/деактивировать пользователя, задать доступные пользователю квоты, заполнить информацию о пользователе, а также задать необходимую роль из списка доступных

Список предопределенных ролей с их логическими описаниями:

• Catalog Author – данная роль позволяет создавать и публиковать новые каталоги (Libraries -> Content Libraries -> Catalogs)
• Console Access Only – эта роль дает права на просмотр статуса виртуальной машины, свойств и использования гостевой ОС через консоль.
• Defer to Identity Provider - передача прав в соответствии с данными полученными от внешних Identity Provider
• Organization Administrator - встроенная роль для администрирования организации (полный доступ)
• vApp Author - права на использования каталога и создания vApp.
• vApp User - пользователи, которые пользуются vApp, созданные другими.

При желании можно создать свою роль, наделив ее необходимыми для выполнения определенных задач правами: Administration -> Access Control -> Roles -> New

Для примера создадим два пользователя с ролями vApp Author и vApp User соответственно.

Для этого подключимся к нашей организации в панели управления vCloud Director под учетной записью с ролью Organization Administrator и перейдем в раздел создания новых пользователей

Administration -> Access Control -> Users -> New

Создадим новых пользователей vappauthor и vappuser c соответствующими ролями

Если мы воспользуемся данными для входа от этих учетных записей, то не увидим ни одного vApp или виртуальной машины, т.к. ни один из уже работающих vApp не принадлежит указанным пользователям. Чтобы у них появились права на уже созданные объекты, необходимо использовать инструмент “Share”, который позволяет предоставить доступ к объектам других пользователей.

Для этого в меню Data Centers -> Compute -> vApps выберем в необходимом нам для работы vApp -> Actions -> Share

Выбираем необходимого пользователя (в данном случае это vappuser) и выдаем ему права на работу с vApp и нажимаем “Share”

В итоге мы видим, что у пользователя vappuser в оснастке появился необходимый нам для работы vApp