Em vCenter Server, as permissões globais são aplicadas a um objeto raiz global que abrange VMware soluções. Em um SDDC local, as permissões globais podem abranger vCenter Server e VMware Aria Automation Orchestrator. Mas para qualquer SDDC vSphere, as permissões globais se aplicam a objetos globais, como tags e bibliotecas de conteúdo.

Você pode atribuir permissões globais a usuários ou grupos e decidir sobre a função de cada usuário ou grupo. A função determina o conjunto de privilégios que o usuário ou grupo tem para todos os objetos na hierarquia. Você pode atribuir uma função predefinida ou criar funções personalizadas. Consulte Usando vCenter Server Funções para Atribuir Privilégios.

É importante distinguir entre permissões vCenter Server e permissões globais.

Tabela 1. Diferenças entre permissões vCenter Server e permissões globais
Tipo de permissão Descrição
vCenter Server As permissões vCenter Server se aplicam a objetos específicos na hierarquia de inventário, como hosts, máquinas virtuais, repositórios de dados e assim por diante. Ao atribuir permissões a vCenter Server, você especifica que um usuário ou grupo tem uma função (conjunto de privilégios) no objeto.
Global As permissões globais concedem a um usuário ou grupo privilégios para visualizar ou gerenciar todos os objetos em cada uma das hierarquias de inventário em sua implantação. As permissões globais também se aplicam a objetos globais, como tags e bibliotecas de conteúdo. Consulte vCenter Server Permissões em objetos de tag.

Se você atribuir uma permissão global e não selecionar Propagar, os usuários ou grupos associados a essa permissão não terão acesso aos objetos na hierarquia. Eles só têm acesso a algumas funcionalidades globais, como a criação de funções.

Adicionar uma permissão global

Você pode usar permissões globais para conceder privilégios a um usuário ou grupo para todos os objetos em todas as hierarquias de inventário em sua implantação.

Importante: Use permissões globais com cuidado. Verifique se você realmente deseja atribuir permissões a todos os objetos em todas as hierarquias de inventário.

Pré-requisitos

Para executar esta tarefa, você deve ter privilégios Permissões.Modificar permissão no objeto raiz para todas as hierarquias de inventário.

Procedimento

  1. Faça login no vCenter Server usando o vSphere Client.
  2. Selecione Administração (Administration) e clique em Global Permissions na área Controle de acesso.
  3. Selecione o domínio no menu suspenso Provedor de permissões (Permissions provider).
  4. (Opcional) Se você tiver configurado um provedor de identidade externo para autenticação federada, o domínio desse provedor de identidade estará disponível para seleção no menu suspenso Domínio (Domain).
  5. Clique em Adicionar (Add).
  6. Selecione o usuário ou grupo que terá os privilégios definidos pela função selecionada.
    1. No menu suspenso Domínio (Domain), selecione o domínio para o usuário ou grupo.
    2. Digite um nome na caixa Pesquisar.
      O sistema pesquisa nomes de usuários e nomes de grupos.
    3. Selecione o usuário ou o grupo.
  7. Selecione uma função no menu suspenso Função (Role).
  8. Decida se deseja propagar as permissões marcando a caixa de seleção Propagar para filhos (Propagate to children).
    Se você atribuir uma permissão global e não selecionar Propagar para filhos (Propagate to children), os usuários ou grupos associados a essa permissão não terão acesso aos objetos na hierarquia. Eles só têm acesso a algumas funcionalidades globais, como a criação de funções.
  9. Clique em OK.

vCenter Server Permissões em objetos de tag

Na hierarquia de objetos vCenter Server, os objetos de tag não são filhos de vCenter Server, mas são criados no nível superior vCenter Server. Em ambientes com várias instâncias vCenter Server, os objetos de tag são compartilhados entre instâncias vCenter Server. As permissões para objetos de tag funcionam de maneira diferente das permissões para outros objetos na hierarquia de objetos vCenter Server.

Somente permissões globais ou permissões atribuídas ao objeto Tag se aplicam

Se você conceder permissões a um usuário em um objeto de inventário vCenter Server, como uma máquina virtual, esse usuário poderá executar as tarefas associadas à permissão. No entanto, o usuário não pode realizar operações de tag no objeto.

Por exemplo, se você conceder o privilégio Atribuir Tag vSphere ao usuário Dana no TPA do host, essa permissão não afetará se a Dana pode atribuir tags no TPA do host. A Dana deve ter o privilégio Atribuir Tag vSphere no nível superior, ou seja, uma permissão global, ou deve ter o privilégio para o objeto de tag.
Tabela 2. Como as permissões globais e as permissões de objeto de tag afetam o que os usuários podem fazer
Permissão Global Permissão no nível da tag vCenter Server Permissão no nível do objeto Permissão efetiva
Nenhum privilégio de marcação atribuído. Dana tem privilégios Atribuir ou cancelar atribuição de vSphere Tag para a tag. Dana tem privilégios Excluir tag vSphere no TPA do host ESXi. Dana tem privilégios Atribuir ou cancelar atribuição de vSphere Tag para a tag.
A Dana tem privilégios Atribuir ou cancelar a atribuição de vSphere Tag. Nenhum privilégio atribuído para a tag. Dana tem privilégios Excluir tag vSphere no TPA do host ESXi. A Dana tem privilégios globais Atribuir ou cancelar a atribuição de vSphere Tag. Isso inclui privilégios no nível da tag.
Nenhum privilégio de marcação atribuído. Nenhum privilégio atribuído para a tag. A Dana tem privilégios Atribuir ou cancelar atribuição de tag vSphere no TPA do host ESXi. A Dana não tem privilégios de marcação em nenhum objeto, incluindo o TPA do host.

Permissões Globais Complementam Permissões de Objeto de Tag

As permissões globais, ou seja, as permissões atribuídas no objeto de nível superior, complementam as permissões nos objetos de tag quando as permissões nos objetos de tag são mais restritivas. As permissões vCenter Server não afetam os objetos de tag.

Por exemplo, suponha que você atribui o privilégio Excluir Tag vSphere ao usuário Robin no nível superior usando permissões globais. Para a produção da tag, você não atribui o privilégio Excluir Tag vSphere a Robin. Nesse caso, Robin tem o privilégio para a tag Production porque Robin tem a permissão global, que se propaga a partir do nível superior. Você não pode restringir privilégios, a menos que modifique a permissão global.

Tabela 3. Permissões globais complementam permissões de nível de tag
Permissão Global Permissão no nível da tag Permissão efetiva
Robin tem privilégios Excluir vSphere Tag Robin não tem privilégios Excluir tag vSphere para a tag. Robin tem privilégios Excluir vSphere Tag.
Nenhum privilégio de marcação atribuído Robin não tem privilégios Excluir tag vSphere atribuídos para a tag. Robin não tem privilégios Excluir vSphere Tag

Permissões de nível de tag podem estender permissões globais

Você pode usar permissões no nível da tag para estender permissões globais. Isso significa que os usuários podem ter uma permissão global e uma permissão no nível da tag em uma tag.

Observação: Esse comportamento é diferente de como os privilégios de vCenter Server são herdados. Em vCenter Server, as permissões definidas para um objeto filho sempre substituem as permissões propagadas de objetos pai.
Tabela 4. Permissões globais estendem permissões de nível de tag
Permissão Global Permissão no nível da tag Permissão efetiva
Lee tem o privilégio Atribuir ou cancelar a atribuição de vSphere Tag. Lee tem o privilégio Excluir vSphere Tag. Lee tem o privilégio Atribuir Tag vSphere e o privilégio Excluir Tag vSphere para a tag.
Nenhum privilégio de marcação atribuído. Lee tem o privilégio Excluir tag vSphere atribuído para a tag. Lee tem o privilégio Excluir tag vSphere para a tag.