默认情况下,vCenter Server 管理员角色允许用户与虚拟机客户机操作系统内的文件和程序交互。为了降低损害客户机保密性、可用性或完整性的风险,请创建没有客户机操作特权的非客户机访问角色。

开始之前

验证您对在其上创建该角色的 vCenter Server 系统是否拥有管理员特权。

关于此任务

为安全起见,请严格限制对虚拟数据中心的访问,严格程度与限制对物理物理数据中心的访问相同。为避免授予用户完全管理员访问权限,请将非客户机访问角色应用于需要管理员特权但无权与客户机操作系统内的文件和程序交互的用户。

例如,某项配置可能包括其上带有敏感信息的基础架构中的虚拟机。通过 vMotion 和 Storage vMotion 进行迁移等任务要求 IT 角色有权访问该虚拟机。在这种情况下,您需要禁用客户机操作系统中的部分远程操作,以确保该 IT 角色无法访问敏感信息。

过程

  1. 以对要在其上创建该角色的 vCenter Server 系统拥有管理员特权的用户身份登录 vSphere Web Client
  2. 单击管理,然后选择访问 > 角色
  3. 单击创建角色图标,然后键入角色的名称。

    例如,键入无客户机访问权限的管理员

  4. 选择所有特权
  5. 通过取消选择所有特权 > 虚拟机 > 客户机操作,移除一组客户机操作特权。
  6. 单击确定

下一步做什么

将需要管理员特权但无客户机访问特权的用户分配到新建角色,确保将这些用户从默认管理员角色中移除。