Prism Centralにおけるロールについて

ロールとは？

Nutanix Prism Self Service 『構築編』にてロールの概要について簡単に紹介いたしました 。今回はより詳細な内容を解説いたします。

Prism Centralではロールベースアクセス制御（RBAC）を使用して、ユーザーアクセス制御を行うことができます。
「ロール」はユーザーに対して管理者が割り当てる複数の権限グループ化したものを 指します。
ロールを用いることで、ユーザー にアクセス先を制御させることができます。
ユーザーの役割に応じた ロールを割り当てることで、よりセキュアにPrism Centralを使用することができます。

また、ロールは必要とするアクセスが同じであれば、複数のユーザーに割り当てることができます。
例えばPrism SelfService （PSS）を使用する場合、プロジェクト単位でユーザーを管理します。
この時ロールをユーザーに付与することで、必要なリソースへのアクセスが可能となります。
ロールは 複数ユーザーに付与することが可能な為、下記図のように異なるプロジェクトのユーザーに対して 割り当てることでロール の作成を最小限にすることができます。
これにより多数のロールを管理する必要がなく、ロールの管理自体も容易になります。

適切なロールについて

ユーザーに対してロールを割り当てる場合、必要な権限のみで構成されたロールを利用されたいかと思われます。
不要な権限があると本来想定していない操作をユーザーに許可させてしまうことが考えられます。
カスタムロールを利用することで必要な権限でロールを構成することができます。
ただカスタムロールを作成するだけではあまり意味がなく、「権限毎に操作可能な範囲」について気を付ける必要があります。

理由としては一つの権限のみでは実現したいロールを作成することが難しい場合が 考えられるためです。

例としてVMを作成することが出来る権限を割り当てるロール を作成するとします。
カスタムロールでは権限オプションを選択できます。
VMの作成を許可する権限は下図のVMエンティティ内の「Full Access」に含まれています。
ただ、これを選択するだけではVMを作成することは出来ません。
VMを作成するにあたりアクセスする必要があるものとして、以下4点があります。
・OSイメージ
・ネットワーク
・ストレージ（ディスク）
・展開先クラスタ

上記の内OSイメージへのアクセス権限はVMエンティティ内には含まれていません。
そのため、OSイメージへアクセス を許可させる為に、下図の「Image」から「View Only」 オプションを追加で選択する必要があります。
これらの権限をロールに追加することで、 仮想マシン作成用のロールとして利用することが出来るようになります。
このように考慮すべき権限があることを考慮に入れた上で、必要なロールを用意する必要があります。
今回は仮想マシン作成を例にしましたが、実際は複数操作が可能なロールを作成することが想定されます。
その際はより多くの操作権限を組み合わせることになるため、その操作を行う際に必要な権限が不足していないかを確認した上でロールを作成する必要があります。