角色是一组预定义的特权。向对象添加权限时,请将用户或组与角色配对。vCenter Server 包括多种无法更改的系统角色。

vCenter Server 提供一些默认角色。不能更改与默认角色关联的特权。默认角色以层次结构方式进行组织。每个角色将继承前一个角色的特权。例如,管理员角色继承只读角色的特权。

vCenter Server 角色层次结构还包括几个样本角色。您可以克隆样本角色以创建类似角色。

CloudAdmin 角色
CloudAdmin 角色为您提供在 SDDC 上创建和管理工作负载所需的特权。但是,您无法访问或配置由 VMware 支持和管理的某些管理组件,例如主机、群集和管理虚拟机。
CloudGlobalAdmin 角色

自 SDDC 版本 1.7 起,CoudGlobalAdmin 角色(具有授予 CloudAdmin 角色的部分特权)已弃用。

管理员角色
具有管理员角色的对象用户可在对象上查看和执行所有操作。此角色还包括只读角色的所有特权。如果您在某个对象上具有管理员角色,可以将特权分配给各个用户和组。
如果您使用管理员角色在 vCenter Server 中进行操作,可以将特权分配给默认 vCenter Single Sign-On 标识源中的用户和组。支持的身份服务包括 Windows Active Directory 和 OpenLDAP 2.4。
默认情况下,安装后,administrator@vsphere.local 用户将对 vCenter Single Sign-OnvCenter Server 具有管理员角色。该用户之后可以将其他用户与 vCenter Server 上的管理员角色相关联。
只读角色
具有“只读”角色的对象用户可查看对象的状态和详细信息。例如,具有此角色的用户可查看虚拟机、主机和资源池属性,但不能查看主机的远程控制台。通过菜单和工具栏执行的所有操作均被禁止。
无权访问角色
具有“无权访问”角色的对象用户不能以任何方式查看或更改对象。默认情况下向新用户和组分配此角色。可以逐对象更改角色。
vCenter Single Sign-On 域的管理员(默认为 administrator@vsphere.local)、root 用户和 vpxuser 默认分配有管理员角色。其他用户默认分配有“无权访问”角色。
无加密管理员角色
具有无加密管理员角色的对象用户与具有管理员角色的用户拥有相同的特权, 加密操作特权除外。此角色允许管理员指定其他管理员,他们无法加密或解密虚拟机或访问加密数据,但可以执行所有其他管理任务。