pveum: add intro to 'limited API Token' section

author Dylan Whyte <d.whyte@proxmox.com>

Fri, 1 Oct 2021 15:30:50 +0000 (17:30 +0200)

committer Thomas Lamprecht <t.lamprecht@proxmox.com>

Mon, 4 Oct 2021 04:56:36 +0000 (06:56 +0200)
author Dylan Whyte <d.whyte@proxmox.com>
Fri, 1 Oct 2021 15:30:50 +0000 (17:30 +0200)
committer Thomas Lamprecht <t.lamprecht@proxmox.com>
Mon, 4 Oct 2021 04:56:36 +0000 (06:56 +0200)
diff --git a/pveum.adoc b/pveum.adoc

index a0fabfba2c6dc05384663d93d979ec57a9ef34b4..97e00053b5cdc2c1c4317d41c41450e6a10da9e4 100644 (file)
--- a/pveum.adoc
+++ b/pveum.adoc
@@ -793,7 +793,13 @@ members of the group `customers` and within the realm `pve`.
  Limited API Token for Monitoring
  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  
-Given a user `joe@pve`, with the PVEVMAdmin role on all VMs:
+Permissions on API tokens are always a subset of those of their corresponding
+user, meaning that an API token can't be used to carry out a task that the
+backing user has no permission to do. This section will demonstrate how you can
+use an API token with separate privileges, to limit the token owner's
+permissions further.
+
+Give the user `joe@pve` the role PVEVMAdmin on all VMs:
  
  [source,bash]
   pveum acl modify /vms -user joe@pve -role PVEVMAdmin
author	Dylan Whyte <d.whyte@proxmox.com>
	Fri, 1 Oct 2021 15:30:50 +0000 (17:30 +0200)
committer	Thomas Lamprecht <t.lamprecht@proxmox.com>
	Mon, 4 Oct 2021 04:56:36 +0000 (06:56 +0200)