权限是 VMware Cloud Director 中的基本访问控制单元。角色可以将角色名称与一组权限相关联。每个组织可以有不同的权限和角色。
VMware Cloud Director 使用角色及其关联的权限来确定用户或组是否有权执行某个操作。VMware Cloud Director 指南中记录的许多过程都包括必备条件角色。这些必备条件假定命名的角色是未经修改的预定义角色或包含一组等效权限的角色。
系统管理员可以使用权限包和全局租户角色管理可供每个组织使用的权限和角色。
安装 VMware Cloud Director 后,系统中将仅包含系统权限包,系统权限包中则包括了系统中可用的所有权限。系统权限包不会发布到任何组织。系统中还包含发布到所有组织的内置全局租户角色。有关预定义角色的信息,请参见预定义 VMware Cloud Director 角色及其权限。
升级 VMware Cloud Director 9.1 或早期版本后,除了系统权限包,系统中还包含每个现有组织对应的旧版权限包。每个旧版权限包都包含升级时可供关联组织使用的权限,该权限包仅会发布到该组织。
注: 要开始对现有组织使用权限包模型,您必须删除相应的旧版权限包。
如果从 9.1 或早期版本升级 VMware Cloud Director,那么现有角色模板将作为全局租户角色发布到所有组织,而与角色模板取消链接的现有角色则可作为租户专用角色供其组织使用。
权限术语
- 权限
- 每种权限都会提供对 VMware Cloud Director 中某一特定对象类型的查看或管理访问权限。根据与其相关的对象,权限可属于不同的类别,例如 vApp、目录、组织等。提供者组织包含系统中可用的所有权限。系统管理员将定义可供每个组织使用的权限。您无法创建或修改 VMware Cloud Director 中包含的权限。
- 权限包
- 系统管理员可以使用权限包管理可供每个组织使用的权限。权限包是系统管理员可发布到一个或多个组织的权限集。系统管理员可以创建和发布与服务层对应的权限包、可单独销售的功能或任何其他随机权限组。只有系统管理员可以查看和管理权限包。您可以将多个权限包发布到同一个组织。
- 组织权限
- 组织权限是可供组织使用的完整权限集。组织权限可以包含多个权限包,但组织管理员和用户只能看到他们可用于创建和修改特定于租户的角色的一个扁平权限集。
角色术语
- 角色
- 角色是可分配给一个或多个用户和组的权限集。创建或导入用户或组时,必须向其分配角色。
- 提供者角色
- 提供者角色是仅供提供者组织使用的角色集。提供者角色只能分配给提供者用户。系统管理员可以创建自定义的提供者角色。
- 租户角色
-
租户角色是可供组织使用的角色集。
系统管理员可以创建和编辑全局租户角色,并将其发布到一个或多个组织。全局租户角色可以分配给所发布到的组织中的租户用户。组织管理员无法编辑全局租户角色。
注: 租户用户只能使用其角色中具有的已发布到其组织的权限。 - 特定于租户的角色
-
组织管理员可以创建和编辑其组织本地特定于租户的角色。特定于租户的角色只能分配给角色所属组织中的租户用户。特定于租户的角色只包含组织权限的一部分。
有关管理租户专用角色的信息,请参见《VMware Cloud Director 租户指南》。