无论 vCenter 用户是在默认的 vSphere Single Sign-On 域还是 Active Directory 等身份提供程序中定义的,使用 vSphere Client 都可查看向这些用户授予的特权。
除了
使用 vCenter Server 角色分配权限中所述的角色和权限外,SDDC 中的
vCenter Server 还包括内部部署 vCenter 中不存在的预定义角色:
- CloudAdmin 角色
-
CloudAdmin 角色具有创建和管理 SDDC 工作负载和相关对象(例如存储策略、内容库、
vSphere 标记和资源池)所需的特权。此角色无法访问或配置由 VMware 支持和管理的对象,如主机、集群和管理虚拟机。CloudAdmin 角色可以创建、克隆或修改非默认角色。有关分配给此角色的特权的详细信息,请参见
CloudAdmin 特权。
注:
CloudAdmin 用户可向其他用户授予对 VMware Cloud on AWS vCenter 管理对象(例如 Mgmt-ResourcePool、Management VMs 文件夹、Discovered Virtual Machines 文件夹、vmc-hostswitch 和 vsanDatastore)的只读访问权限。由于此只读访问权限不会传播到管理对象,因此您无法将其作为全局权限授予,而必须为每个管理对象明确授予。VMware Cloud on AWS 每天运行脚本一次,以更新任何新创建的管理对象(例如新集群中的对象),从而为 CloudAdmin 用户和 CloudAdminGroup SSO 组应用更新的角色。脚本本身不会向任何用户或组授予其他访问权限,因此您需要等到该脚本完成后,CloudAdmin 用户才能使用此工作流授予对这些对象的只读访问权限。
VMware Cloud on AWS 还定义了一组可在 VMware Cloud Services 控制台中进行管理的服务角色,以及一组在邀请新用户时分配的组织角色。这些角色可以进一步限制组织成员对 SDDC 中的 vSphere 对象拥有的权限。请参见向组织成员分配服务角色和邀请新用户。
过程
- 登录到 VMware Cloud Services (https://vmc.vmware.com)。
- 单击,然后选择一个 SDDC 卡视图并单击访问 vCenter。
- 使用 vSphere Client 选择对象层次结构中的对象(例如资源池或虚拟机),然后单击权限。
- 随后,您可以查看与每个组关联的特权。
- 在 vSphere Client 主页中,单击管理。
- 在访问控制下,单击角色。
- 单击角色名称(例如 CloudAdmin)。
- 单击右侧的特权选项卡。
结果
可以滚动列表,查看为所选角色授予的特权。有关所有 vSphere 特权的详细列表,请参见定义的特权。
