扩展由 NSX-T Data Center 提供的 RBAC 功能,并创建满足您的运行要求的自定义角色。您可以克隆现有角色并对其进行自定义,也可以重新创建角色。从 NSX-T Data Center 3.1.1 开始,您还可以编辑和删除用户创建的角色。
- 您只能为在策略模式下提供的功能创建自定义角色。如果您克隆的角色有权访问管理器模式的功能,则克隆的角色仅提供策略模式功能的访问权限。例如,仅在管理器模式下提供升级、迁移、Fabric、流跟踪、NSX Intelligence 和物理服务器和容器清单等功能,因此不受支持。支持大多数功能。具有自定义角色的用户不支持的功能包括:
有关管理器和策略模式的详细信息,请参见NSX Manager。
- 仅企业管理员可以将角色管理功能的权限分配给自定义角色。企业管理员可以创建自定义角色,以委派进一步的自定义角色创建和用户角色分配。
- 分配了自定义角色的用户只能创建具有相同或更低权限集的其他自定义角色。具有自定义角色的用户无法创建或分配权限高于自身的角色。
- 分配了自定义角色的用户无法修改或删除为其分配的角色。
注: 在全局管理器(联合)上不支持自定义角色。
过程
- 从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
- 选择。
- 克隆现有的角色或创建一个角色。
- 要克隆角色,请单击该角色的 ,然后选择克隆。输入克隆的角色的名称,并根据您的运行要求指定权限。
- 要创建角色,请单击添加角色。输入角色的名称,并根据您的运行要求更新权限。
注:
根据您选择的功能,NSX-T Data Center 可能会建议其他权限以使新角色定义有效。查看建议,然后单击应用。
在创建自定义角色时,NSX-T Data Center 检查功能相互依赖性。相互依赖性检查确保用户最低具有使角色有效所需的其他功能的读取访问权限。
例如,如果用户创建的角色具有网关防火墙的完全访问权限,并具有网关功能的无访问权限,则该角色无效。然后,NSX-T Data Center 建议用户至少分配额外要求的网关功能的读取访问权限。
- (可选)编辑或删除用户创建的角色。
- 要编辑用户创建的角色(例如,如果要扩展访问权限),请单击该角色的 ,然后选择编辑。根据您的运行要求,更改角色名称、描述和权限。
- 要删除用户创建的角色(例如,如果它用于临时访问),请单击该角色的 ,然后选择删除。