用户角色指定了用户可以对给定资源执行的操作。角色确定用户获得授权可对给定资源执行的活动,从而确保用户只能执行完成适当操作必需的功能。这样可以实现对特定资源的域控制,如果您的权限没有限制,还可实现系统范围的控制。
一个用户只能拥有一个角色。下表列出了每个用户角色的权限。
| 角色 | 权限 |
|---|---|
| 企业管理员 | 此角色的用户可以执行与 NSX 产品的部署和配置相关的所有任务以及与此 NSX Manager 实例的管理相关的任务。 |
| NSX 管理员 | 此角色的用户可以执行与此 NSX Manager 实例的部署和管理相关的所有任务。例如,安装虚拟设备、配置端口组。 |
| 安全管理员 | 此角色的用户除了可以查看系统中的报告和审核信息外,还可以配置安全合规性政策。例如,定义分布式防火墙规则、配置 NAT 和负载平衡器服务。 |
| 审核员 | 此角色的用户只能查看系统设置、审核、事件和报告信息,无法进行任何配置更改。 |
| 安全工程师(在 NSX Data Center for vSphere 6.4.2 中引入)。 | 此角色的用户可以执行所有安全任务,例如,配置策略和防火墙规则。此类用户对某些网络功能具有读取访问权限,但不能访问主机准备和用户帐户管理。 |
| 网络工程师(在 NSX Data Center for vSphere 6.4.2 中引入)。 | 此角色的用户可以执行所有网络连接任务,例如,路由、DHCP 和桥接。用户对端点安全功能具有读取权限,但无法访问其他安全功能。 |
| 安全和角色管理员(在 NSX Data Center for vSphere 6.4.5 中引入)。 | 此角色中的用户具备安全工程师拥有的所有功能权限,并且还可以执行用户管理任务。 |
在为 SSO 用户分配角色时,将授予在以下界面中的访问权限:
- vSphere Web Client 中的网络和安全插件。
- NSX Manager 设备,包括 API。此访问权限仅在 NSX 6.4 或更高版本中可用。
例如:
如果 SSO 用户拥有除企业管理员角色以外的任何角色,则这些用户可以在只读模式下访问 NSX Manager UI 并运行 API 请求。这些用户可以通过 GET API 请求访问 NSX API,但是他们无法运行 PUT、POST 和 DELETE API 请求。此外,这些 SSO 用户也无法在 NSX Manager UI 中执行停止、配置、编辑等操作。
