每个 SDDC 都定义了一个名为 CloudAdmin 的角色。此角色中的组织成员具有管理组织所拥有的所有对象的权限。

SDDC 角色

CloudAdmin
CloudAdmin 角色为您提供在 SDDC 上创建和管理工作负载所需的特权。但是,您无法访问或配置 VMware 支持和管理的对象,如主机、群集和管理虚拟机。有关分配给此角色的特权的详细信息,请参见 CloudAdmin 特权
CloudGlobalAdmin
CloudGlobalAdmin 角色与全局特权相关联,允许您创建和管理内容库对象并执行其他一些全局任务。
注:

自 SDDC 版本 1.7 起,CoudGlobalAdmin 角色(具有授予 CloudAdmin 角色的部分特权)已弃用。

有关系统中角色和权限的详细信息,请参见 vSphere 文档中的了解 vSphere 中的授权

CloudAdmin 负责在 SDDC 中创建用户、组和角色,通常通过使用 vCenter Single Sign-On 和混合链接模式进行创建。对于大多数用例,SDDC vCenter 中的权限和角色可以像在通过混合链接模式链接到 SDDC 的内部部署 vCenter 中那样进行配置,这样两个环境中具有相同的访问控制,从而您组织的工作流可从中受益。

由于 VMware Cloud on AWS 是一种服务,因为限制了所有租户(组织成员)对必须由服务提供商 (VMware) 控制的 vSphere 资源的访问。此外,还对可以与所创建的角色相关联的权限进行限制,并阻止您修改 CloudAdmin 角色或比 CloudAdmin 角色拥有更多权限的任何角色。已向服务提供商授予组织中所有用户、组、权限、角色和清单对象的超级用户权限。

有关系统中角色和权限的详细信息,请参见 VMware vSphere 文档中的了解 vSphere 中的授权

AWS 角色

要创建 SDDC,VMware 必须向您的 AWS 帐户添加几个必需的 AWS 角色和权限。创建 SDDC 后,将从这些角色中移除大多数权限。这些角色的其他权限将保留在您的 AWS 帐户中。

重要事项:

不得更改任何其余的 AWS 角色和权限。这样做将导致 SDDC 无法运行。

有关详细信息,请参见AWS 角色和权限