Prism Centralの活用その4（RBACで操作と見える範囲の権限設定・その3）

前回までにRBACの設定とユーザーごとに操作できる画面が異なることを確認しました。

前回の課題であった剛田武（ジャイアン）は、仮想マシンのパワーオン・オフの権限すらなく、仮想マシンのオペレーションができない点です。

ジャイアンに仮想マシンのコンソールを渡すと何をされるかわからないので、最低限障害が発生した際に仮想マシンのリセットや電源入り切りができる権限だけを付与するというシナリオで進めたいと思います。

まずは、管理者権限で、Prism Centralにログインし、「Admin Center」→「IAM」→「Roles」画面に移動します。

そこから、「Create Role」で「From existing role」を選択します。

ロール部分に「Virtual Machine Viewer」と入力しNextをクリックします。

一部の権限がコピーできない旨が表示されますが、そのまま「Continue」をクリックします。

ガイド表示が出てきた場合は、Skip for nowをクリックしましょう。（ガイドを見たい場合は進めてもらっても構いません）

このままでは、先ほどジャイアンに適用していたVirtual Machine Viewer権限なので、仮想マシンの電源操作ができません。ここで、仮想マシンの電源操作関係の権限を追加していきます。

まずは、左上の「Role Name」を「Holdings System Operator Role」に変更します。
Role Nameの下側「Select operations to grant access」の下にあるリストから「AHV VM」の+ボタンをクリックします。

右側の「AHV VM」のリストも展開しましょう。

左下のAHV VMから以下の権限情報を探して、「+」ボタンをクリックします。

以下の項目を探し、＋ボタンを押して追加します。

• ACPI Reboot Virtual Machine
• ACPI Shutdown Virtual Machine
• Allow Virtual Machine Power Off
• Allow Virtual Machine Power On
• Allow Virtual Machine Reboot
• Allow Virtual Machine Reset
• Guest Reboot Virtual Machine
• Guest Shutdown Virtual Machine
• Power Cycle Virtual Machine
• Power Off Virtual Machine
• Power On Virtual Machine
• Reset Virtual Machine

追加する際に、さらに必要な権限がある場合は併せて表示してくれます。Doneをクリックしましょう。

追加を確認したら、右側の一覧に追加されることが確認できると思います。

追加が完了したら、「Save」をクリックします。

一部のオペレーションで権限が不足していると表示されますが、ホストアフィニティなどは、権限付与しませんので、そのまま「Save」をクリックします。

Rolesの一覧表示画面に戻りますので、作成したRoleが存在しているかを確認します。デフォルト20行しか表示されませんので、ページをめくるか表示数を60に変更するなどして探してみてください。

次に「Authorization Policies」画面から、ジャイアン用のポリシーである「System Operator」をActionボタンから「Edit」をクリックします。

Policy名称のところに、先ほど作成した「Holdings System Operator」を入力し選択します。

スコープやユーザー設定がリセットされるけど良いか？というメッセージが表示されますので、「Continue」をクリックします。

そのまま続けるので、Nextをクリックします。

続いてスコープを設定します。（前回と同じくAll Entity Typesで、In Categoryを選択し、ジャイアンが操作するカテゴリであSystem Operatorを選択）設定後「Next」をクリックします。

続いてユーザーの設定を行います。こちらでは、ローカルユーザーの「takeshi.goda」を選択し、「Save」をクリックします。

これで、設定は完了しました。

再度別のブラウザから、ジャイアンのアカウントでログインします。

実際の仮想マシンの詳細画面に行くと仮想マシンの再起動ボタンなどが表示されています。

仮想マシン一覧画面のActionメニューから見ると、きちんとシャットダウンボタンも表示されていることがわかります。

これでジャイアンに対して、仮想マシンのシャットダウンやリセットなどの権限を付与することができました。別途仮想マシンコンソール操作権を割り当てたい場合は、「Access Console Virtual Machine」を追加すれば仮想マシンの画面も見ることができるようになります。

デフォルトで存在しないロールの場合デフォルトのロールをベースに足りないものを追加するということができ、個別で細かな権限設定ができることがわかったかと思います。

ロールを新規で作成することも可能ですが、その場合、この多数のオブジェクトから必要なものを選択するのは非常に手間がかかります。例えば仮想マシンの電源操作だけの権限であっても、その場合仮想マシンが属するクラスターのView権限が必要など、親子関係があるオブジェクトの参照権限が正しく設定されていないと、操作したい対象物が表示されないことがあります。

そういった複雑性を考えると、既存ロールからやりたいことが近いものを選択し、そこから詳細の権限操作の必要有無を確認しながら権限付与・はく奪するのが望ましいと考えられます。