> 虚拟化 Virtualization > Proxmox >

PVE 权限管理

为了让用户执行操作(例如列出、修改或删除 VM 配置的一部分),用户需要具有适当的权限。

Proxmox VE 使用基于角色和路径的权限管理系统。权限表中的条目允许用户、组或令牌在访问对象或路径时承担特定角色。这意味着这样的访问规则可以表示为(path, user, role) , (path, group, role)或(path, token, role)的三元组,其中角色包含一组允许的操作,以及表示这些操作的目标的路径。

角色
角色只是一个特权列表。Proxmox VE 带有许多可满足大多数需求的预定义角色。

Administrator:拥有所有权限

NoAccess:没有权限(用于禁止访问)

PVEAdmin:可以做大多数事情,但缺少修改系统设置的权限(Sys.PowerMgmt、Sys.Modify、Realm.Allocate)。

PVEAuditor : 只读访问

PVEDatastoreAdmin:创建和分配备份空间和模板

PVEDatastoreUser:分配备份空间和查看存储

PVEpoolAdmin : 分配池

PVESysAdmin:用户 ACL、审计、系统控制台和系统日志

PVETemplateUser:查看和克隆模板

PVEUserAdmin:用户管理

PVEVMAdmin:完全管理虚拟机

PVEVMUser : 查看、备份、配置 CD-ROM、VM 控制台、VM 电源管理

您可以在 GUI 上看到整套预定义角色。

特权
特权是执行特定操作的权利。为了简化管理,权限列表被分组到角色中,然后可以在权限表中使用。请注意,权限不能直接分配给用户和路径,而不是角色的一部分。

我们目前使用以下权限:

节点/系统相关权限
Permissions.Modify : 修改访问权限

Sys.PowerMgmt:节点电源管理(启动、停止、重置、关闭……)

Sys.Console:控制台访问节点

Sys.Syslog : 查看系统日志

Sys.Audit : 查看节点状态/配置、Corosync 集群配置和 HA 配置

Sys.Modify : 创建/删除/修改节点网络参数

Group.Allocate : 创建/删除/修改组

Pool.Allocate:创建/删除/修改池

Pool.Audit : 查看池

Realm.Allocate:创建/删除/修改身份验证领域

Realm.AllocateUser : 将用户分配给一个领域

User.Modify:创建/删除/修改用户访问和详细信息。

虚拟机相关权限
VM.Allocate:创建/删除新 VM 到服务器清单

VM.Migrate:将 VM 迁移到集群上的备用服务器

VM.PowerMgmt:电源管理(启动、停止、重置、关闭……)

VM.Console:控制台访问 VM

VM.Monitor : 访问 VM 监视器 (kvm)

VM.Backup : 备份/恢复虚拟机

VM.Audit : 查看 VM 配置

VM.Clone : 克隆/复制虚拟机

VM.Config.Disk : 添加/修改/删除磁盘

VM.Config.CDROM : 弹出/更换 CD-ROM

VM.Config.CPU : 修改 CPU 设置

VM.Config.Memory : 修改内存设置

VM.Config.Network : 添加/修改/删除网络设备

VM.Config.HWType : 修改模拟硬件类型

VM.Config.Options:修改任何其他 VM 配置

VM.Snapshot : 创建/删除 VM 快照

存储相关权限
Datastore.Allocate:创建/删除/修改数据存储,删除卷

Datastore.AllocateSpace:在数据存储上分配空间

Datastore.AllocateTemplate:分配/上传模板和 iso 图像

Datastore.Audit:查看/浏览数据存储



(责任编辑:IT)