Red Hat Virtualization 使用角色和权限来授予或者拒绝用户访问资源。
这允许管理员微调访问控制。
大多数 RHV 用户只对访问虚拟机感兴趣，但有些用户可能需要另外的权限来管理它们。

记住用户的三个基本角色：

• UserRole 可以通过用户门户连接到和使用虚拟机。此角色可以启动、停止和挂起虚拟机，但不能修改其配置。此角色适用于通过 Web 界面控制或者访问现有虚拟机控制台的人员。
• PowerUserRole 可以创建虚拟机和查看虚拟资源。这适用于可以创建和使用自己的虚拟机但不需要访问其他用户管理的虚拟机的用户。
• UserVmManager 可以编辑或者移除虚拟机、分配用户权限、使用快照和使用模板。此角色适合虚拟机管理员。它会自动在新虚拟机上为创建它的用户设置。

UserVmManager 角色很有趣，因为它可以设置在单个虚拟机上，以便用户仅对该虚拟机进行管理控制。
它也可以设置在集群上，让用户能够管理该集群中的所有虚拟机。
请注意，该角色对集群进行基础架构更改的权限有限（与 ClusterAdmin 不同）。

注意：如果我们在虚拟机上拥有 UserRole，我们可以在用户门户中看到该虚拟机，并且我们可以启动或者停止该机器。
我们不能创建新的虚拟机，也不能编辑或者删除现有的虚拟机。
此外，如果我们只有 UserRole，那么我们只能看到用户门户的基本模式。

如果我们在虚拟机上拥有 UserVmManager，我们就可以在用户门户中完全控制该虚拟机，我们可以编辑其配置甚至删除它。
我们还可以查看用户门户的扩展模式。

如果我们只有 PowerUserRole，我们可以使用扩展模式并在用户门户中创建机器，并且我们将能够看到我们自己的虚拟机，因为我们会在我们创建的机器上自动获取 UserVmManager。
除非我们至少还拥有 UserRole，否则我们无法看到其他用户创建的虚拟机。
如果管理员在我们创建的虚拟机上删除了 UserVmManager 角色，并且我们在这些虚拟机上没有 UserRole，只有 PowerUserRole，那么我们将无法再在用户门户中看到机器。

高级用户角色提供对虚拟机管理的进一步控制。
例如，集群上的 UserTemplateBasedVm 允许用户从该集群中的模板创建虚拟机。
有关高级用户角色的更多信息，请查看第 4 章，管理用户帐户和角色。

所有三个基本管理员角色 SuperUser 、 ClusterAdmin 和 DataCenterAdmin 都为该管理员提供对角色范围内的虚拟机的完全控制。

要为特定用户在特定虚拟机上添加角色：

• 单击虚拟机选项卡并选择适当的虚拟机。
• 单击屏幕下方的“权限”选项卡。
• 单击添加按钮以添加具有关联角色的用户。
• 为用户选择合适的来源。
• 在 RHV 用户列表中，选中我们要分配权限的用户的复选框。
• 在窗口下方，选择下拉列表并为该用户选择适当的角色。
• 单击确定以确认。

用户名和角色显示在允许访问此虚拟机的用户列表中。
该过程可用于向 RHV 环境中的任何类型的可用资源添加权限。

要在虚拟机上撤销用户的角色，请按照以下步骤操作：

• 单击虚拟机选项卡并选择适当的虚拟机。
• 单击屏幕下方的“权限”选项卡。
• 从权限列表中选择适当的用户和角色，然后单击删除按钮。
• 单击“确定”按钮进行确认。

注意：无法使用 Web 界面从对象中删除用户从更高级别对象继承的任何角色和权限。
例如，如果用户在包含虚拟机的集群上拥有 ClusterAdmin，则我们不能仅从一台虚拟机中删除该用户继承的 ClusterAdmin 角色。
我们必须从集群中删除该用户的角色。