見てみましょうのvCenter Serverのアクセス許可を紹介
VCenterserverアクセス制御システムは、インベントリ内のアクセスオブジェクトへのユーザーアクセス許可を定義するために、管理者を可能にします。
その後、我々は、それはいくつかの概念をクリアします:
- 権限:各ユーザーの権限グループまたはグループまたは特権にオブジェクトとユーザを指定します
vCenter Serverシステムは、vSphereの権限でオブジェクトモデルに割り当てられた権限に依存します。各機関は、選択したオブジェクトの役割であるユーザーまたはグループへの権限のセットを提供します。役割ごとに異なるユーザーの異なるユーザーまたはグループに割り当てられた権限のセットを決定します
- 特権:アラートを作成、などの仮想マシンなどの特定の操作を実行
- 役割:権限のセット。
- オブジェクト:ターゲットは操作を実行します。(データセンター、フォルダ、リソースプール、クラスタ、ホスト、データストレージ、ネットワークおよび仮想マシン)
- これらの操作を実行しようとしているユーザー缶グループ、することができます認証されたユーザーまたは認証にのみ割り当て権限:ユーザーまたはグループ
たとえば、あなたは、仮想マシンオブジェクトを選択する権限、グループ1に付与された読み取り専用の役割を追加し、第二の権限を追加することができ、管理者の役割がユーザー2に付与されます。異なるオブジェクト上のユーザーのグループに異なる役割を割り当てることで、ユーザーはvSphere環境で実行できるタスクを制御することができます。
(シングル・サインのvCenterユーザ認証がデフォルトの文字でツール定義を識別するソースユーザおよびグループ(例えばアクティブディレクトリ)を使用して、認証のvCenter単一の点で定義されたソースユーザおよびグループを識別するために登録しなければならない(例えばvCenterサーバの管理者)が事前に定義されており、変更することはできません。そのようなリソースプール管理者として他の役割は、()あらかじめ定義された役割の一例である。あなたは、カスタムロールを作成するためにゼロからスタートすることができクローニングおよび変形例の役割によって作成することができますカスタムロール)
ディレクトリに権限を追加するvCenterserver
- vSphereのWebクライアント上のオブジェクトを選択します(データセンターかもしれフォルダを指定でき、それは仮想マシンすることができます)
- このオブジェクトが実装するために追加permisionsは、ユーザーまたはグループの権限を選択し右クリックし、[役割を割り当てるユーザーまたはグループを与えます
役割について:
権限のセットがロールに割り当てられます。
- 役割は、ユーザーがタスクを実行することができます。
- 設定を簡素化するためには、カテゴリ別にグループ化された文字(システムの役割、役割の例では、カスタムロール)
•管理者の役割:管理者の役割は、ユーザーがオブジェクトを表示し、オブジェクトのすべての操作を実行することができます。
•パスワードなしの管理者の役割:オブジェクトは、管理者の役割を持つユーザーへのユーザーのパスワード管理者の役割は、暗号化操作権限を除き、同じ権限を持っていません。
•アクセスなしの役割:ユーザーは、オブジェクトを表示または変更することはできませんオブジェクトの役割にアクセスできません。
•読み取り専用の役割:読み取り専用の文字オブジェクトは、オブジェクトの状態とユーザのオブジェクトに関する詳細情報を表示することができます。
すべてのロールは、互いに独立しています。それらの中で階層ないか、相続ん
オブジェクトは、操作を実行するエンティティです。
オブジェクトは、データセンター、フォルダ、リソースプール、クラスタ、ホスト、データストレージ、ネットワーク、および仮想マシンが含まれます。すべてのオブジェクトは、権限タブを持っています。[権限]タブが表示され、ユーザーまたはグループと、選択したオブジェクトに関連付けられた役割
アプリケーション権限
- 最初のシーン
権限が直接許可を継承オブジェクトの上書きに適用しました
アクセス権は、すべての子オブジェクトへのオブジェクト階層の下に沿って伝播することができ、それが唯一の直接オブジェクトを適用することもできます。
アクセス許可を指定することに加えて下方に伝播されるだけでなく、明示的にカバーより高いレベルの権限セットに低いレベルに異なる権限オブジェクトによって設定されてもよいです。スライドでは、グレッグ・ユーザーは、トレーニングセンターで読み取り専用のアクセスデータが付与されます。この役割は、Prod03-2仮想マシン以外のすべての子オブジェクトに伝達されます。この仮想マシンの場合、グレッグは、管理者です。
- 2番目のシナリオ
ユーザが複数のグループとグループに属する場合、同じオブジェクトに対して異なるアクセス権を持って:ユーザーがセットの複数のグループにアクセス許可を割り当てられている
ユーザが、異なるグループのメンバである場合に異なる役割を割り当てられ、その後、同じ被験者に適用され、このオブジェクトのすべての権限は、ユーザーがこれらの役割を持つことになり
、仮想マシン上で実行する機能:スライド上で、グループ1は、カスタムの役割だけの特権が含まれているVM_Power_Onの役割が割り当てられています。グループ2は、役割が作成する権限と削除スナップショットが含まれる別のカスタムですtake_snapshotの役割を、割り当てられました。これらの役割の両方が子オブジェクトに伝播されます。グレッグため、グループ1とグループ2に属し、彼はすべてのオブジェクトのデータセンターVM_Power_Onとtake_snapshot権限で訓練を受けたそう。
- 第三のシーン
各チームは、オブジェクトごとに異なる権限を持つかのように、直接オブジェクトと権限に直接適切な権限のユーザ、
ユーザが複数のグループのメンバである場合のように(同じ権利と他のグループ)オブジェクト上の異なるアクセス許可、同一の権利を有し、このグループに適用され、それらがユーザーに直接付与されたかのように、各オブジェクトに対する権限を有しています。
スライドでは、グループ1は、トレーニング管理者の役割としてのデータセンターに割り当てられ、グループ2は、仮想マシンオブジェクトProd03-1上の役割読み取り専用に割り当てられています。グループ1付与された権限は、子オブジェクトに伝播されます。グレッグは、グループ1とグループ2のメンバーである、そのように呼ばProd03-1仮想マシンに加えて、(下位層をターゲット)、データセンター全体のトレーニング(上位レベルのオブジェクト)の管理者権限を持っている人、およびので、その読み取り専用アクセス。
- 第四のシーン
明示的にオブジェクトを定義するためのユーザーの権限は、同じオブジェクトのすべてのグループのアクセス権よりも優先されます。
•グループ1はVM_Power_Onの役割に割り当てられている:スライド上で、トレーニングのデータセンターに割り当てられた3つの権限があります。•グループ2はtake_snapshotの役割を割り当てられました。•グレッグは、読み取り専用のロールに割り当てられました。グレッグは、グループ1とグループ2のメンバーであるので、また、子オブジェクトの普及のすべての役割が有効になっていることが想定されます。グレッグは、グループ1とグループ2のメンバーであるが、彼は読み取り専用のデータセンターとそのトレーニングの下にあるすべてのオブジェクトへのアクセスをけれども。オブジェクトの明示的なユーザー権限は同じ主題のすべてのグループのアクセス権よりも優先されるためグレッグは、読み取り専用アクセスを取得します。
役割を作成します:
ちょうど脇役の必要なタスクを作成します。たとえば、仮想マシンの作成者を。使用フォルダは、権限に制限された範囲を実行します。たとえば、役割を作成した仮想マシンは、ユーザーに割り当てられ、金融ナンシーフォルダに適用します。
役割を作成した仮想マシンは、役割を作成することができる多くの例の一つです。いくつかの権限は、ロールを定義として、ベストプラクティスとして、環境の安全性と制御を最大にするために、使用しています。
また、ロール名を与えられ、それぞれの役割は、その目的を明確にするコンテンツができますことを明らかにしました。
範囲を含むようにフォルダを使用します。
仮想マシンの作成を制限するために、例えば、仮想マシンおよびテンプレートインベントリビューにフォルダを作成します。このフォルダには、ユーザーのために、仮想マシンのアプリケーション・ロールを作成します。
