权限是 VMware Cloud Director 中的基本访问控制单元。角色可以将角色名称与一组权限相关联。每个组织可以有不同的权限和角色。
VMware Cloud Director 使用角色及其关联的权限来确定用户或组是否有权执行某个操作。VMware Cloud Director 指南中记录的许多过程都包括必备条件角色。这些必备条件假定命名的角色是未经修改的预定义角色或包含一组等效权限的角色。
系统管理员和子提供者管理员可以使用权限包和全局租户角色,来管理可供每个组织使用的权限和角色。
安装 VMware Cloud Director 后,系统将仅包含 System Rights Bundle
,其中包括系统中可用的所有权限。System Rights Bundle
不会发布到任何组织。系统还包含内置的全局租户角色,这些角色会发布到由 system
组织管理的所有组织,但子提供者管理员角色除外(默认情况下不会发布)。有关预定义角色的信息,请参见预定义 VMware Cloud Director 角色及其权限。
除了 System Rights Bundle
之外,系统可能还包含用于每个现有组织的 Legacy Rights Bundle
。每个 Legacy Rights Bundle
都包含升级时可供关联组织使用的权限,该权限包仅会发布到关联组织。
Legacy Rights Bundle
。
VMware Cloud Director 提供了用于管理权限和角色的 OpenAPI。有关 VMware Cloud Director OpenAPI 的信息,请参见《VMware Cloud Director OpenAPI 入门》,网址为 https://developer.broadcom.com/。
权限术语
- 权限
-
每种权限都会提供对
VMware Cloud Director 中某一特定对象类型的查看或管理访问权限。根据与其相关的对象,权限可属于不同的类别,例如
vApp
、Catalog
、Organization
等。提供者组织包含系统中可用的所有权限。 系统管理员将定义可供每个组织使用的权限。子提供者可以定义可供其管理的组织使用的权限。您无法创建或修改 VMware Cloud Director 中包含的权限。 - 权限包
- 系统管理员可以使用权限包来管理可供每个组织使用的权限。权限包是 系统管理员可发布到一个或多个组织的权限集。 系统管理员或 子提供者管理员可以创建并发布与服务层对应的权限包、可单独销售的功能或任何其他随机权限组。 系统管理员和 子提供者管理员只能将权限包发布到他们直接管理的组织,例如,提供者无法将权限包发布到子提供者管理的租户组织。只有 系统管理员和 子提供者管理员可以查看和管理权限包。管理员可以将多个权限包发布到同一个组织。
- 权限分类
-
从版本 10.6 开始,
VMware Cloud Director 将权限分为三组:
Provider
、Sub-provider
和Tenant
权限。provider
权限仅适用于提供者,不能分配给任何其他人,也不能向任何其他人显示。提供者可以将sub-provider
权限发布到其直接租户,从而为其提供子提供者功能,而 子提供者管理员无法将sub-provider
权限发布到其管理的租户组织。tenant
权限是可以分配给任何人的常规权限。如果要查看所有 VMware Cloud Director 权限以及 API 权限名称、UI 权限名称、权限分类和 UI 权限类别等的列表,请参见 CSV 格式的 VMware Cloud Director 10.6 权限文件。
或者,您也可以在使用 VMware Cloud Director API 时确定权限分类,VMware Cloud Director 将返回每个权限及
isPublishable
字段。该字段为true
或false
,具体取决于分类以及您发出调用的上下文。例如,对于sub-provider
分类权限,该字段在提供者上下文中为true
,而在子提供者上下文中为false
。
角色术语
- 角色
- 角色是可分配给一个或多个用户和组的权限集。创建或导入用户或组时,必须向其分配角色。
- 提供者角色
- 提供者角色是仅供提供者组织使用的角色集。 系统管理员只能将提供者角色分配给提供者用户。 系统管理员可以创建自定义提供者角色。
- 子提供者角色
-
从
VMware Cloud Director 10.6 开始,
系统管理员可以将必要的权限发布到组织,以使该组织成为子提供者组织。具有预定义
子提供者管理员角色的用户可以创建和管理组织和组织 VDC,还可以管理子提供者组织中的用户和组以及为其分配角色(包括预定义
子提供者管理员角色)。
子提供者管理员在子提供者组织中进行操作。
子提供者管理员角色可以创建和发布全局角色和权限包。
有关子提供者角色的详细信息角色,请参见VMware Cloud Director 管理概述。有关子提供者权限的完整列表,请参见预定义全局租户角色中的 VMware Cloud Director 权限。
- 租户角色
-
租户角色是可供组织使用的角色集。
系统管理员和子提供者管理员可以创建和编辑全局租户角色,并将其发布到一个或多个组织。系统管理员和子提供者管理员只能将全局租户角色发布到他们直接管理的组织,例如,提供者无法将全局租户角色发布到子提供者管理的租户组织。管理员可以将全局租户角色分配给所发布到的组织中的租户用户。组织管理员无法编辑全局租户角色。
注: 租户用户只能使用其角色中具有的已发布到其组织的权限。 - 特定于租户的角色
-
组织管理员可以创建和编辑其组织本地特定于租户的角色。特定于租户的角色只能分配给角色所属组织中的租户用户。特定于租户的角色只包含组织权限的一部分。
有关管理租户专用角色的信息,请参见VMware Cloud Director 子提供者和租户指南。