权限术语

权限

每种权限都会提供对 VMware Cloud Director 中某一特定对象类型的查看或管理访问权限。根据与其相关的对象，权限可属于不同的类别，例如 vApp、 Catalog、 Organization 等。提供者组织包含系统中可用的所有权限。 系统管理员将定义可供每个组织使用的权限。子提供者可以定义可供其管理的组织使用的权限。您无法创建或修改 VMware Cloud Director 中包含的权限。

权限包

系统管理员可以使用权限包来管理可供每个组织使用的权限。权限包是 系统管理员可发布到一个或多个组织的权限集。 系统管理员或 子提供者管理员可以创建并发布与服务层对应的权限包、可单独销售的功能或任何其他随机权限组。 系统管理员和 子提供者管理员只能将权限包发布到他们直接管理的组织，例如，提供者无法将权限包发布到子提供者管理的租户组织。只有 系统管理员和 子提供者管理员可以查看和管理权限包。管理员可以将多个权限包发布到同一个组织。

权限分类

从版本 10.6 开始， VMware Cloud Director 将权限分为三组： Provider、 Sub-provider 和 Tenant 权限。 provider 权限仅适用于提供者，不能分配给任何其他人，也不能向任何其他人显示。提供者可以将 sub-provider 权限发布到其直接租户，从而为其提供子提供者功能，而 子提供者管理员无法将 sub-provider 权限发布到其管理的租户组织。 tenant 权限是可以分配给任何人的常规权限。

如果要查看所有 VMware Cloud Director 权限以及 API 权限名称、UI 权限名称、权限分类和 UI 权限类别等的列表，请参见 CSV 格式的 VMware Cloud Director 10.6 权限文件。

或者，您也可以在使用 VMware Cloud Director API 时确定权限分类，VMware Cloud Director 将返回每个权限及 isPublishable 字段。该字段为 true 或 false，具体取决于分类以及您发出调用的上下文。例如，对于 sub-provider 分类权限，该字段在提供者上下文中为 true，而在子提供者上下文中为 false。

组织权限

组织权限是可供组织使用的完整权限集。组织权限可以包含多个权限包，但 组织管理员和用户只能看到他们可用于创建和修改特定于租户的角色的一个扁平权限集。

角色术语

角色

角色是可分配给一个或多个用户和组的权限集。创建或导入用户或组时，必须向其分配角色。

提供者角色

提供者角色是仅供提供者组织使用的角色集。 系统管理员只能将提供者角色分配给提供者用户。 系统管理员可以创建自定义提供者角色。

子提供者角色

从 VMware Cloud Director 10.6 开始， 系统管理员可以将必要的权限发布到组织，以使该组织成为子提供者组织。具有预定义 子提供者管理员角色的用户可以创建和管理组织和组织 VDC，还可以管理子提供者组织中的用户和组以及为其分配角色（包括预定义 子提供者管理员角色）。 子提供者管理员在子提供者组织中进行操作。 子提供者管理员角色可以创建和发布全局角色和权限包。

有关子提供者角色的详细信息角色，请参见VMware Cloud Director 管理概述。有关子提供者权限的完整列表，请参见预定义全局租户角色中的 VMware Cloud Director 权限。

租户角色

租户角色是可供组织使用的角色集。

系统管理员和子提供者管理员可以创建和编辑全局租户角色，并将其发布到一个或多个组织。系统管理员和子提供者管理员只能将全局租户角色发布到他们直接管理的组织，例如，提供者无法将全局租户角色发布到子提供者管理的租户组织。管理员可以将全局租户角色分配给所发布到的组织中的租户用户。组织管理员无法编辑全局租户角色。

注： 租户用户只能使用其角色中具有的已发布到其组织的权限。

特定于租户的角色

组织管理员可以创建和编辑其组织本地特定于租户的角色。特定于租户的角色只能分配给角色所属组织中的租户用户。特定于租户的角色只包含组织权限的一部分。

有关管理租户专用角色的信息，请参见VMware Cloud Director 子提供者和租户指南。