Representa quais são as permissões que determinada account possui dentro da infraestrutura de nuvem. As roles padrões são:
- root admin: possui permissões para realizar quaisquer ações dentro da cloud, podendo gerenciar tanto os recursos físicos quanto os virtuais.
- domain admin: possui permissões apenas para realizar ações envolvendo os recursos virtuais da nuvem limitados à um domain.
- resource admin: possui permissões para gerenciar, criar, listar e destruir apenas os recursos virtuais da nuvem.
- user: possui permissões para acessar apenas os recursos que o permitem gerenciar as máquinas virtuais, os storages e as redes.
Roles padrões não podem ser editadas ou removidas; essa limitação é uma consequência do design da gestão de roles na API do CloudStack. No entanto é possível criar roles personalizadas, as quais o administrador tem completo acesso. O procedimento para realizar essa ação é o seguinte:
1- Navegue até Roles e adicione uma nova role:
2- Adicione a configuração básica da nova role:
O campo Based on é obrigatório. Ele pode se referir à tipos ou roles já existentes. Ele é utilizado para determinar qual o tipo de account que pode utilizar tal role. Exemplo: uma role do tipo Admin apenas pode ser alocada em accounts do tipo Admin.
Sobre as duas opções disponíveis:
- Type: define qual será o tipo de account que pode utilizar essa role.
- Role: utiliza uma role já existente para definir qual será o tipo de account que pode utilizar essa role e faz uma cópia das regras contidas na mesma.
3- Navegue até os detalhes da role criada:
4- Customize as regras dessa role:
Para utilizar essa nova role é necessário criar uma nova account utilizando-a. Também é possível editar e remover roles, exceto por uma situação que será melhor explicada adiante.
Algumas observações importantes:
- Roles que já estão associadas à uma account não podem ser editadas ou deletadas, sendo necessário remover à account primeiro.
- Uma única role pode ser utilizada por várias accounts, mas uma account pode utilizar apenas uma role.
- Apesar de roles associadas à accounts não poderem ser editadas ou deletadas, ainda é possível alterar as regras que compõem essa role, seja as editando, removendo ou adicionando.