vSphere 支持具有精细控制的几个模型,以确定是否允许用户执行某项任务。vCenter Single Sign-On 使用 vCenter Single Sign-On 组中的组成员资格决定您可以执行的操作。您在对象上的角色或者您的全局权限确定您是否可以在 vSphere 中执行其他任务。

授权概览

vSphere 6.0 及更高版本允许有特权的用户授予其他用户执行任务的权限。可以使用全局权限,也可以使用本地 vCenter Server 权限以授权其他用户处理各个 vCenter Server 实例。
vCenter Server权限

vCenter Server系统的权限模型需要向对象层次结构中的对象分配权限。每种权限都会向一个用户或组授予一组特权,即选定对象的角色。例如,您可以选择虚拟机,然后选择添加权限,向所选域中的一组用户分配角色。该角色授予这些用户相应的虚拟机特权。

全局权限
全局权限应用到跨多个解决方案的全局根对象。例如,如果同时安装了 vCenter Server 和 vRealize Orchestrator,则可以使用全局权限。例如,可以授予一组用户对这两个对象层次结构中的所有对象的读取权限。
如果您的环境包含内部部署 vCenter Server 和云 vCenter Server,将不会复制全局权限。
vCenter Single Sign-On 组中的组成员资格
对于 VMware Cloud on AWS,已在 vCenter Single Sign-On 中预定义云管理员组。使用混合链接模式时,将该组添加到链接域。

了解对象级别权限模型

您授权用户或组使用对象上的权限在 vCenter 对象上执行任务。vSphere 权限模型需要向 vSphere 对象层次结构中的对象分配权限。每种权限都会向一个用户或组授予一组特权,即选定对象的角色。例如,一组用户可能在一个虚拟机上具有只读角色,而在另一个虚拟机上具有管理员角色。

以下概念非常重要。

权限
vCenter Server对象层次结构中的每个对象都具有关联的权限。每个权限为一个组或用户指定该组或用户具有对象的哪些特权。
用户和组
vCenter Server 系统中,可以仅向经过身份验证的用户或经过身份验证的用户组分配特权。用户通过 vCenter Single Sign-On 进行身份验证。必须在 vCenter Single Sign-On 用于进行身份验证的标识源中定义用户和组。使用您的标识源(例如 Active Directory)中的工具定义用户和组。
特权
特权是精细的访问控制。可以将这些特权分组到角色中,然后可以将其映射到用户或组。
角色
角色是指一组特权。角色允许您基于用户执行的一系列典型任务分配对对象的权限。默认角色(例如管理员)已在 vCenter Server 中预定义,不能更改。其他角色(例如资源池管理员)是预定义的样本角色。可以从头开始或者通过克隆和修改样本角色创建自定义角色。 请参见https://docs.vmware.com/cn/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-41E5E52E-A95B-4E81-9724-6AD6800BEF78.html#GUID-41E5E52E-A95B-4E81-9724-6AD6800BEF78
图 1. vSphere 权限
一种角色中组合了多种特权。角色将分配给用户或组。
要向对象分配权限,请执行以下步骤:
  1. 在 vCenter 对象层次结构中选择要应用权限的对象。

    VMware Cloud on AWS 中,无法更改 VMware 为您管理的对象(例如,vCenter Server 实例或 ESXi 主机)上的权限。

  2. 选择应对该对象具有特权的组或用户。
  3. 选择组或用户针对该对象应具有的各种特权或某个角色(即一组特权)。

    默认情况下,权限会传播,即组或用户对选定对象及其子对象具有选定角色。

vCenter Server提供预定义的角色,这些角色合并了经常使用的特权集。也可通过合并一组角色创建自定义角色。

通常,必须同时定义对源对象和目标对象的权限。例如,如果要移动虚拟机,您需要针对该虚拟机的特权,同时还需要针对目标数据中心的特权。

请参见下面的信息。
要了解... 请参见...
创建自定义角色。 创建自定义角色
所有特权以及可对其应用特权的对象 定义的特权
对不同对象执行不同任务所需的特权集。 常见任务的所需特权

vCenter Server用户验证

使用目录服务的 vCenter Server 系统将根据用户目录域定期验证用户和组。验证将根据 vCenter Server 设置中指定的固定时间间隔执行。例如,假设为用户 Smith 分配了对多个对象的角色,域管理员将该名称更改为 Smith2,下次进行验证时主机会认为 Smith 已不存在,并从 vSphere 对象中移除与该用户关联的权限。

同样,如果将用户 Smith 从域中移除,则在下次验证发生时与该用户关联的所有权限都将被移除。如果在下次验证之前将新用户 Smith 添加到域,新用户 Smith 会接替旧用户 Smith 获得对任意对象的权限。