====== Donner les droits de création de VMs à un groupe d'utilisateurs ======
Documentation VMware : Privilèges requis pour les tâches courantes (Créer une machine virtuelle)
http://pubs.vmware.com/vsphere-60/index.jsp#com.vmware.vsphere.security.doc/GUID-4D0F8E63-2961-4B71-B365-BBFA24673FDB.html#GUID-4D0F8E63-2961-4B71-B365-BBFA24673FDB
===== Présentation =====
* Permettre à un groupe d'utilisateurs de pouvoir créer et gérer leurs VMs
* Sans disposer de droits supplémentaires sur le serveur
===== Principes =====
* Créer un **dossier** spécifique dans le **centre de données** ;
* Créer un **groupe de ressources** spécifique sur un **hôte physique** ;
* ce groupe de ressources précise éventuellement les limitations des ressources à utiliser (Ressources CPU et Mémoire RAM) ;
* les utilisateurs sont **administrateur** de ce groupe de ressources ;
* il est nécessaire de permettre :
* de pouvoir créer une VM dans le centre de données ;
* d'allouer de l'espace disque dans la banque de données ;
* de parcourir la banque de données pour associer un fichier iso au lecteur de CD-ROM de la VM
* de pouvoir assigner un réseau à la VM (parmi les VLANs disponibles)
* Pour cela et pour faire simple, un seul rôle appelé **Créateur VMs** est créé et regroupe ces privilèges particuliers.
Résumé des privilèges requis :
^Privilège^Objet concerné^Rôle attribué^
|Machine virtuelle.Inventaire .Créer|Pool de ressources concerné|Administrateur|
|:::|Dossier spécifique|Créateur VMs|
|Machine virtuelle.Configuration.Ajouter un nouveau disque (en cas de création d'un nouveau disque virtuel)|Pool de ressources concerné|Administrateur|
|Machine virtuelle.Configuration.Ajouter un disque existant (en cas d'utilisation d'un disque virtuel existant)|Pool de ressources concerné|Administrateur|
|Ressource.Attribuer une machine virtuelle au pool de ressources|Pool de ressources concerné|Administrateur|
|Banque de données.Allouer de l'espace|Dossier spécifique|Créateur VMs|
|Banque de données.Parcourir banque de données|Dossier spécifique|Créateur VMs|
|Réseau.Assigner un réseau|Réseau concerné|Créateur VMs|
===== Mise en oeuvre =====
La mise en oeuvre de cette gestion se fera, à titre d'exemple, avec les informations suivantes :
* **Compte utilisateur** utilisé dans le domaine BTSSIO.LOCAL : icn2015
* Ce compte appartient au **groupe utilisateur** : G_Valadon_2015_ICN
* Création d'un **dossier ICN** dans le **centre de données**
* Création du rôle **Createur VMs**
==== Ouverture de session de l'utilisateur ====
* compte **icn2015** du domaine **BTSSIO.LOCAL**
{{ :reseau:vmware:vcenter_droit_01.png |}}
* n'ayant aucune autorisation, ce compte ne peut accéder aux ressources
{{ :reseau:vmware:vcenter_droit_02.png |}}
==== Création du dossier ICN =====
Au niveau des **hôtes et Clusters**, création du **dossier ICN** dans le **centre de données** existant **Datacenter** :
{{ :reseau:vmware:vcenter_droit_10.png |}}
{{ :reseau:vmware:vcenter_droit_11.png |}}
Au niveau **VM et modèles** on visualise le dossier ICN créé :
{{ :reseau:vmware:vcenter_droit_12.png |}}
==== Création d'un rôle ====
Pour faire simple, un seul rôle supplémentaire appelé **Créateur VMs** est créé avec les privilèges nécessaires. Ce rôle sera utilisé sur plusieurs objets, là où cela est requis.
=== Privilèges associés à ce rôle ===
* Banque de données.Allouer de l'espace
* Banque de données.Parcourir banque de données
* Machine virtuelle.Inventaire .Créer
* Réseau.Assigner un réseau
=== Création du rôle et définition des privilèges ===
{{ :reseau:vmware:vcenter_droit_03.png |}}
{{ :reseau:vmware:vcenter_droit_13.png |}}
{{ :reseau:vmware:vcenter_droit_04.png |}}
==== Donner l'autorisation d'écrire et de parcourir la banque de données en utilisant le rôle Créateur VMs====
Cette autorisation est uniquement définie pour la banque de données de l'un des ESX qui est appelée **datastore1** dans Vsphère.
{{ :reseau:vmware:vcenter_droit_05.png |}}
{{ :reseau:vmware:vcenter_droit_14.png |}}
==== Donner l'autorisation d'assigner un réseau précis aux VMs créées====
Cette autorisation est uniquement définie pour le réseau VM Network. Il est bien sûr possible, comme pour les autorisations précédentes, de le faire à un niveau supérieur pour permettre l'utilisation de tous les réseaux (VLANs)
{{ :reseau:vmware:vcenter_droit_06.png |}}
==== Affecter les bonnes autorisations pour limiter ce que peut faire l'utilisateur ====
**Attention** : pour gérer ce que **peut** ou ne peut pas **voir** et **faire** l'utilisateur, il faudra cocher ou pas l'option **Propager vers les enfants**, c'est à dire limiter ou pas le rôle à l'objet.
=== Attribuer le rôle lecture seule uniquement sur l'objet Vsphère ===
{{ :reseau:vmware:vcenter_droit_15.png |}}
=== Attribuer le rôle lecture seule uniquement sur le centre de données ===
{{ :reseau:vmware:vcenter_droit_16.png |}}
=== Attribuer le rôle Créateur VMs sur le dossier ICN ===
{{ :reseau:vmware:vcenter_droit_17.png |}}
=== Attribuer le rôle lecture seule uniquement sur l'hôte physique ===
{{ :reseau:vmware:vcenter_droit_18.png |}}
=== Attribuer le rôle Administrateur sur le pool de ressources ICN ===
{{ :reseau:vmware:vcenter_droit_07.png |}}
==== Création d'une VM par l'utilisateur icn2015 ====
En rafraîchissant l'affichage, ou en se reconnectant, l'utilisateur accède au pool de ressources et peut créer sa VM.
{{ :reseau:vmware:vcenter_droit_08.png |}}
Lors de la création, développez l'arborescence pour choisir le dossier ICN :
{{ :reseau:vmware:vcenter_droit_20.png |}}