无论 vCenter 用户是在默认的 vSphere Single Sign-On 域还是 Active Directory 等身份提供程序中定义的,使用 vSphere Client 都可查看向这些用户授予的特权。

除了 使用 vCenter Server 角色分配权限中所述的角色和权限外,SDDC 中的 vCenter Server 还包括内部部署 vCenter 中不存在的预定义角色:
CloudAdmin 角色
CloudAdmin 角色具有创建和管理 SDDC 工作负载和相关对象(例如存储策略、内容库、 vSphere 标记和资源池)所需的特权。此角色无法访问或配置由 VMware 支持和管理的对象,如主机、集群和管理虚拟机。CloudAdmin 角色可以创建、克隆或修改非默认角色。有关分配给此角色的特权的详细信息,请参见 CloudAdmin 特权
注:

CloudAdmin 用户可向其他用户授予对 VMware Cloud on AWS vCenter 管理对象(例如 Mgmt-ResourcePoolManagement VMs 文件夹、Discovered Virtual Machines 文件夹、vmc-hostswitchvsanDatastore)的只读访问权限。由于此只读访问权限不会传播到管理对象,因此您无法将其作为全局权限授予,而必须为每个管理对象明确授予。VMware Cloud on AWS 每天运行脚本一次,以更新任何新创建的管理对象(例如新集群中的对象),从而为 CloudAdmin 用户和 CloudAdminGroup SSO 组应用更新的角色。脚本本身不会向任何用户或组授予其他访问权限,因此您需要等到该脚本完成后,CloudAdmin 用户才能使用此工作流授予对这些对象的只读访问权限。

VMware Cloud on AWS 还定义了一组可在 VMware Cloud Services 控制台中进行管理的服务角色,以及一组在邀请新用户时分配的组织角色。这些角色可以进一步限制组织成员对 SDDC 中的 vSphere 对象拥有的权限。请参见向组织成员分配服务角色邀请新用户

过程

  1. 登录到 VMware Cloud Services (https://vmc.vmware.com)。
  2. 单击清单 > SDDC,然后选择一个 SDDC 卡视图并单击访问 vCenter
  3. 使用 vSphere Client 选择对象层次结构中的对象(例如资源池或虚拟机),然后单击权限
  4. 随后,您可以查看与每个组关联的特权。
    1. vSphere Client 主页中,单击管理
    2. 访问控制下,单击角色
    3. 单击角色名称(例如 CloudAdmin)。
    4. 单击右侧的特权选项卡。

结果

可以滚动列表,查看为所选角色授予的特权。有关所有 vSphere 特权的详细列表,请参见定义的特权