Em vCenter Server, uma função é um conjunto predefinido de privilégios que define direitos para executar ações e ler propriedades. Você cria permissões atribuindo uma função a um usuário ou grupo para um objeto. vCenter Server fornece funções do sistema e funções de amostra por padrão. Você também pode criar funções personalizadas.

Atribuindo permissões em vCenter Server

Ao atribuir permissões em vCenter Server, você emparelha um usuário ou grupo com uma função e associa esse emparelhamento a um objeto de inventário. Por exemplo, você pode usar a função Amostra de usuário da máquina virtual para permitir que um usuário leia e altere os atributos da máquina virtual.

Um único usuário ou grupo pode ter diferentes funções para diferentes objetos no inventário. Por exemplo, suponha que você tenha dois pools de recursos em seu inventário, Pool A e Pool B. Você pode atribuir ao grupo Vendas a função Amostra de usuário de máquina virtual no Pool A e a função Somente leitura no Pool B. Com essas atribuições, o os usuários do grupo Vendas podem ativar máquinas virtuais no Pool A, mas só podem visualizar máquinas virtuais no Pool B.

Os usuários só poderão agendar tarefas se tiverem uma função que inclua privilégios para executar essa tarefa no momento em que a tarefa for criada.

Quais são as funções vCenter Server predefinidas

vCenter Server fornece funções predefinidas, conforme mostrado na tabela a seguir.

Tabela 1. Papéis vCenter Server predefinidos
Tipo de função Nomes de funções Descrição
Sistema Administrador, Somente leitura e Sem acesso. As funções do sistema são permanentes. Você não pode excluir funções do sistema nem editar os privilégios associados a essas funções. As funções do sistema são organizadas como uma hierarquia. Cada função herda os privilégios da função anterior. Por exemplo, a função Administrador herda os privilégios da função Somente leitura. Consulte a seção a seguir para obter mais detalhes sobre funções do sistema.
Amostra vSphere fornece várias funções de amostra, por exemplo, AutoUpdateUser, Administrador do pool de recursos e Usuário de máquina virtual. vSphere fornece funções de amostra para determinadas combinações de tarefas executadas com frequência. Você pode clonar, modificar ou remover essas funções.
Observação: Para evitar a perda das configurações predefinidas em uma função de amostra, clone a função primeiro e faça as modificações no clone. Você não pode redefinir a amostra para suas configurações padrão.

Para visualizar os privilégios associados a uma função, navegue até a função no vSphere Client (Menu > Administration > Roles) e clique no botão guia Privilégios (Privileges).

Para visualizar todos os privilégios e descrições de vSphere, consulte Privilégios definidos.

Observação: As alterações nas funções e nos privilégios entram em vigor imediatamente, mesmo se os usuários envolvidos estiverem conectados. A exceção são as pesquisas, em que as alterações entram em vigor depois que o usuário faz logout e login novamente.

vCenter Server Funções do sistema

As funções do sistema não podem ser alteradas ou excluídas.

Função de administrador
Os usuários com a função de Administrador para um objeto têm permissão para visualizar e executar todas as ações no objeto. Essa função também inclui todos os privilégios da função Somente Leitura. Se você tiver a função de Administrador em um objeto, poderá atribuir privilégios a usuários e grupos individuais.
Se você estiver atuando na função de Administrador em vCenter Server, poderá atribuir privilégios a usuários e grupos na origem de identidade padrão vCenter Single Sign-On. Consulte a documentação do vSphere Autenticação para obter os serviços de identidade compatíveis.
Por padrão, o usuário [email protected] tem a função de Administrador em vCenter Single Sign-On e vCenter Server após a instalação. Esse usuário pode então associar outros usuários à função de Administrador em vCenter Server.
Dica: A prática recomendada é criar um usuário no nível raiz e atribuir a função de Administrador a esse usuário. Depois de criar um usuário nomeado com privilégios de Administrador, você pode remover o usuário raiz de qualquer permissão ou alterar sua função para Sem Acesso.
Função somente leitura
Os usuários com a função Somente Leitura para um objeto têm permissão para exibir o estado do objeto e os detalhes sobre o objeto. Por exemplo, os usuários com essa função podem exibir os atributos da máquina virtual, do host e do pool de recursos, mas não podem exibir o console remoto de um host. Todas as ações por meio dos menus e das barras de ferramentas não são permitidas.
Nenhuma função de acesso
Os usuários com a função Sem Acesso para um objeto não podem exibir ou alterar o objeto de forma alguma. Novos usuários e grupos recebem essa função por padrão. Você pode alterar a função objeto a objeto.
O administrador do domínio vCenter Single Sign-On, [email protected] por padrão, o usuário raiz e o vpxuser recebem a função de Administrador por padrão. Outros usuários recebem a função Sem Acesso por padrão.

Funções personalizadas em vCenter Server e ESXi

Você pode criar funções personalizadas para o vCenter Server e todos os objetos que ele gerencia ou para hosts individuais.
vCenter Server Funções personalizadas (recomendado)
Crie funções personalizadas usando os recursos de edição de funções no vSphere Client para criar conjuntos de privilégios que correspondam às suas necessidades.
ESXi Funções personalizadas
Você pode criar funções personalizadas para hosts individuais usando uma CLI ou o VMware Host Client. Consulte a documentação do vSphere Gerenciamento de host único - VMware Host Client. As funções de host personalizadas não podem ser acessadas em vCenter Server.
Se você gerenciar hosts ESXi por meio de vCenter Server, não mantenha funções personalizadas no host e em vCenter Server. Defina funções no nível vCenter Server.
Quando você gerencia um host usando vCenter Server, as permissões associadas a esse host são criadas por meio de vCenter Server e armazenadas em vCenter Server. Se você se conectar diretamente a um host, somente as funções criadas diretamente no host estarão disponíveis.
Observação: Quando você adiciona uma função personalizada e não atribui nenhum privilégio a ela, a função é criada como uma função Somente leitura com três privilégios definidos pelo sistema: Sistema.Anônimo }, Sistema.Visualização e Sistema.Leitura. Esses privilégios não são visíveis no vSphere Client, mas são usados para ler determinadas propriedades de alguns objetos gerenciados. Todas as funções predefinidas em vCenter Server contêm esses três privilégios definidos pelo sistema. Consulte a documentação da vSphere WebAPI de serviços para obter mais informações.

Criar uma função personalizada vCenter Server

Para atender às necessidades de controle de acesso do seu ambiente, você pode criar vCenter Server funções personalizadas. Você pode criar uma função ou clonar uma função existente.

Você pode criar ou editar uma função em um sistema vCenter Server que faz parte do mesmo domínio vCenter Single Sign-On que outros sistemas vCenter Server. O Serviço de Diretório VMware (vmdir) propaga as alterações de função que você faz para todos os outros sistemas vCenter Server no grupo. Atribuições de funções a usuários e objetos específicos não são compartilhadas entre os sistemas vCenter Server.

Pré-requisitos

Verifique se você tem privilégios de Administrador no sistema vCenter Server no qual você cria a função.

Procedimento

  1. Faça login no vCenter Server usando o vSphere Client.
  2. Selecione Administração (Administration) e clique em Funções (Roles) na área Controle de acesso.
  3. Crie a função.
    Opção Descrição
    Para criar uma função
    1. Clique em Novo (New).
    2. Digite um nome para a nova função.
    3. Marque e desmarque os privilégios para a função.

      Role as categorias de privilégios e selecione todos os privilégios ou um subconjunto de privilégios para essa categoria. Você pode mostrar todas as categorias, selecionadas ou não selecionadas. Você também pode mostrar todos os privilégios, selecionados ou não selecionados. Consulte Privilégios definidos para obter mais informações.

    4. Clique em Criar (Create).
    Para criar a função clonando
    1. Selecione uma função e clique em Clone.
    2. Digite um nome para a função.
    3. Clique em OK.
    Observação: Ao criar uma função clonada, você não pode alterar os privilégios. Para alterar os privilégios, selecione a função clonada e clique em Editar (Edit).

O que Fazer Depois

Agora você pode criar permissões selecionando um objeto e atribuindo a função a um usuário ou grupo para esse objeto.