Настройка пользователей и назначение прав доступа в vCloud Director

Создание пользователей

По умолчанию в подписке vCloud Director создан один пользователь с именем user с ролью Organization Administrator.

Для создания нового пользователя и назначения ему прав доступа необходимо перейти в консоли управления vCloud Director по следующему пути: Administration -> Access Control -> Users -> New

В открывшемся окне необходимо заполнить следующие обязательные поля:
User name имя пользователя
Password пароль
Confirm password повторить пароль
Enable включить/выключить учетную запись пользователя
Available roles задать необходимую роль из списка доступных

После чего нажать на кнопку Save

По умолчанию доступны следующие предустановленные роли:

Catalog Author – права на создание и публикацию новых каталогов
Console Access Only –права на просмотр статуса виртуальной машины, свойств и использования гостевой ОС через консоль.
Defer to Identity Provider - передача прав в соответствии с данными полученными от внешних Identity Provider
Organization Administrator - встроенная роль для администрирования организации (полный доступ)
vApp Author - права на использования каталога и создания vApp.
vApp User - пользователи, которые пользуются vApp, созданные другими.

*В vCloud Director до версии 10.1 включительно доступна также роли:

Gateway Administrator - права, позволяющие настраивать пограничный интернет-шлюза
Organization Manager- встроенные права для администрирования организации

При необходимости можно создать собственную кастомную роль, назначив ей необходимые в зависимости от определенных задач права. Для этого необходимо перейти: Administration -> Access Control -> Roles -> New

В открывшемся окне необходимо заполнить поля Name – имя новой роли, Description – описание, выставить необходимые разрешения и нажать на кнопку SAVE

После чего в списке ролей появится созданная новая роль:

Также данная роль станет доступна в выпадающем списке Available roles на странице создания нового пользователя:

Разграничение прав доступа

Для примера создадим двух пользователей user_1 и user_2 с ролями vApp Author и vApp User соответственно.

Для этого подключимся к нашей организации в панели управления vCloud Director под учетной записью admin с ролью Organization Administrator и перейдем в раздел создания новых пользователей (Administration -> Access Control -> Users -> New).

Далее создадим 3 новых vApp (Data Centers -> Compute -> vApps -> New -> New vApp).

Воспользуемся данными для входа от ранее созданных учетных записей.

Список vApp у обоих пользователей user_1 и user_2 пуст по причине того, что ни один из ранее созданных vApp не принадлежит указанным пользователям.

Необходимо пользователям user_1 и user_2 предоставить права на ранее созданные объекты пользователем admin.

Для этого из-под учетной записи admin необходимо выполнить следующие настройки:

1. В меню Data Centers -> Compute -> vApps выберем в необходимом нам для работы vApp -> Actions -> Share

2. Выбираем необходимого пользователя user_1 и предоставляем ему права на работу с First_vApp и нажимаем “Share”

3. Для пользователя user_2 проделываем аналогичные действия – предоставляем ему права на работу с Second_vApp.

Выполним поочередный вход под пользователями user_1 и user_2.

В итоге, у пользователя user_1 в оснастке появился необходимый First_vApp, а у user_2 – Second_vApp. При этом Third_vApp отсутствует у обоих пользователей.

Также следует обратить внимание, что у user_1 и user_2 отличаются доступные пункты меню Data Centers -> Compute -> vApps -> New

Данное отличие вызвано тем, что при создании пользователей user_1 и user_2 им были заданы различные роли - vApp Author и vApp User соответственно.