株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > Nutanix > 【Nutanix】 Prism Self Service - AHV環境でのロール制御 -
最終更新日

【Nutanix】 Prism Self Service - AHV環境でのロール制御 -

Nutanix

みなさん、こんにちは。

 

今回はPrism Self Serviceについてご紹介します。

Prism Self Service(旧Self Service Portal)は、個人やチームが 仮想マシンの作成・管理を行える制御機能です。
インフラ管理者に依頼せずともユーザー自身でVMを操作できるため、業務の効率化が期待できます。
またインフラ管理者としても「必要な操作だけを許可し、それ以外には触らせたくない」といったロール制御が可能なため、セキュリティと管理性を両立できます。

今回はこのロール制御の基本的な設定方法についてご紹介します。

〇今回のシナリオ

特定のユーザーに対し、仮想マシンの「起動・停止」のみを許可するロールを設定します。
またVM以外の管理画面にはアクセスさせないように制限をかけます。

お客様ごとにロールの割り当て方法は異なるかと思いますが、本記事を参考に、運用に適したロール設定を検討してみてください。

〇検証環境

AOS:7.0
AHV:10.0
Prism Central:pc.2024.3.0.2(X-Small)

〇検証の流れ

1.Active Directoryとの連携

 事前にActive Directory(AD)とユーザーを作成しておきます。

2.ロールの作成

 「仮想マシンの起動・停止のみ」を許可するロールを事前に作成しておきます。

3.プロジェクトの作成
 ユーザーを管理するためのプロジェクトを作成します。

4.動作確認
 実際に設定したユーザーでログインし、適切に権限が適用されているか確認します。

〇具体的な設定手順

1.Active Directoryとの連携

事前にADとユーザーを作成しておきます。

最終的にpss_001というユーザーに「仮想マシンの起動・停止のみ」を許可するロールを付与します。

Prism Centralにログインし、[Admin Center]にアクセスします。

[IAM]-[IdP Configuration]画面から[Add identity Provider]をクリックし、[Active Directory/OpenLDAP]を選択します。

クリック後、Directoryの情報やService Accountを入力します。

[Save]をクリックし、ADが登録されていればOKです。

2.ロールの作成

ユーザーに割り当てるロールを作成します。

Prism Centralにログインし、[Admin Center]にアクセスします。

[IAM]-[Roles]画面の[Create Role]をクリックし、[New role]を選択します。

Create Role画面が表示されます。

Role Nameを入力し、左下の[Select operations to grant access]から付与したい権限を選択します。

今回は「仮想マシンの起動・停止のみ」の役割を付与します。

画面をスクロールし、[AHV VM]という項目を探します。

[Allow Virtual Machine Power Off]をクリックします。

クリックすると、選択した操作をするために必要な権限が表示されます。
今回は[View Virtual Machine]権限が追加で付与されました。

問題なければ[Add]をクリックします。

 

同様に[Allow Virtual Machine Power On]もロールに加えます。
今回のロールでは3つの権限が付与されます。

[Save & Create Authorization Policy]をクリックします。

ロールの詳細を確認することができます。

[Next]をクリックします。

スコープの範囲を設定することができます。今回はロール内のすべてにアクセスできるように[Full access]を選択し[Next]をクリックします。

このロールに割り当てるユーザーを指定します。

事前に作成しておいたpss_001@st.localユーザーを選択し[Save]をクリックします。

3.プロジェクトの作成

Prism Self Serviceではプロジェクトという単位でロールやリソースを制限することができます。

早速プロジェクトを作成してみます。

 

Prism Centralにログインし、[Admin Center]にアクセスします。

[Projects]画面の[Create Project]をクリックします。

Create Project画面に遷移します。Project Nameを入力して[Create]をクリックします。

※様々なオプションが存在しますが、ここでは割愛します。


作成されるとプロジェクトのダッシュボードが表示されます。

[+ Add Users]をクリックしユーザーを割り当てます。

Users & Groupsタブに遷移します。[Add/Edit Users & Groups]をクリックします。

[+ Add User]をクリックし、ユーザーとロールを割り当てます。

[Save users and Project]をクリックします。

次に[Infrastructure]タブに移動し、[Add Infrastructure]をクリックします。

リストからNTNX_LOCAL_AZを選択します。

プロジェクトに対してインフラストラクチャとリソースを割り当てます。

[Configure Resources]をクリックします。


このプロジェクトで許可するクラスターとVLANを選択します。

[Confirm and Select Default]をクリックします。

確認画面が表示されますので[Confirm]をクリックします。

右上の[Save]をクリックします。

プロジェクト名の横にActiveと表示されていれば設定は完了です。


4.動作確認

最後にpss_001ユーザーでログインし、権限が正しく付与されているか確認します。

ブラウザからPrism Centralにアクセスします。

ログインすると、VMのダッシュボードに移動します。
左のメニューにはVMの他には何も表示されていないことが確認できます。

st-ubuntuという仮想マシンのメニューを開くと、[Power Off]以外のメニューがないことがわかります。

また電源オフの後には[Power On]しか表示されていないことがわかります。

以上がPrism Self Serviceの簡単な流れになります。

〇まとめ

今回はPrism Self Serviceの機能をとても簡単にご紹介しました。

他にも

・使用するリソースの制限(vCPU、RAM、ストレージ)

・許可したリソース以外へのアクセス制限

・細かなロール設定

等さまざまな機能を利用することができます。

 

このブログがプロジェクトの理解や運用の手助けとなれば幸いです。