Created by vfrolov, last modified by Andrey Rybakov on авг. 19, 2021

Права доступа к объектам (ресурсам) могут быть выданы субъекту, владельцу (owner), пользователям входящим в соответствующую группу (group) и остальным пользователям (others). Каждому субъекту присваивается три параметра доступа : использование (USE), управление (MANAGE) and администрирование (ADMIN). Права доступа применяются ко всем объектам системы кроме пользователей, групп и узлов.

• Использование (USE) – позволяет использовать объект без его изменения (Создание ВМ из шаблонов, подключение образами и сетей). Данный параметр пользователь может установить для предоставления доступа к объекту остальным пользователям, входящим в группу пользователя или остальным пользователям системы ;
• Управление (MANAGE) – операции управления, позволяют пользователям изменять ресурсы, останавливать ВМ, отключать сетевые интерфейсы. Указав параметр «Управление» пользователь предоставит права управления пользователям, входящем в его группу или остальным пользователям системы ;
• Администрирование (ADMIN) – позволяет мигрировать ВМ, изменять права ВМ, изменять права шаблона, удалять и изменять группы.

Для объекта «Виртуальные машины» можно гранулировать все действия, разделив их на 3 типа прав доступа. Данные параметры настраиваются с помощью CLI.

• VM_ADMIN_OPERATIONS
• VM_MANAGE_OPERATIONS
• VM_USE_OPERATIONS

Список операций, которые можно распределить между 3 типами прав :

• Перенести ВМ (Migrate)
• Удалить (Delete)
• Сбросить состояние (Recover)
• Повтор операции (Retry)
• Развенуть (Deploy)
• Освободить ресурсы (Undeploy)
• Пересоздать и отменить пересоздание (Resched, unresched)
• Приостановить создание (Hold)
• Продолжить создание (Release)
• Остановить (Stop)
• Приостановить (Suspend)
• Старт (Resume)
• Перезагрузить (Reboot)
• Выключить (Poweroff)
• Добавить/Отключить диск(Disk-attach/detach)
• Подключить/Отключить сетевой адаптер (Nic-attach/detach)
• Создать/Удалить/Восстановить снимок диска (create, delete and revert)
• Создать/Удалить/Восстановить снимок ВМ (create, delete and revert)
• Удалить (Terminate)
• Изменить размер диска (Disk-resize)
• Изменить конфигурацию (Update conf)
• Переименовать (Rename)
• Изменить параметры ОЗУ, ЦПУ (Resize)
• Сохранить диск (Disk-saveas)

При работе с объектами платформы пользователь, при необходимости, может произвести блокировку объекта, что не позволит, например, удалить объект по ошибке. По умолчанию платформа блокирует все операции над объектом, но при разных правах на объект у разных пользователей, блокировка работает следующим образом:

• Использование (USE) - блокирует все возможные операции
• Управление (MANAGE) - блокирует опрарации, относящиеся к управлению администрированию
• Администрирование (ADMIN) - блокирует операции относящиеся к администрированию

Ресурсы которые можно заблокировать описаны ниже :

• Виртуальные машины;
• Сети;
• Образы дисков;
• Шаблоны;
• Виртуальные роутеры;
• Магазин приложений.

Важно отметить, что блокировки не действуют на пользователя «Администратор» платформы.

Управление правами доступа возможно производить как с помощью веб-интерфейса, так и с помощью командной строки CLI.