角色是一组预定义的特权。特权定义了执行操作和读取属性所需的权限。例如,虚拟机管理员角色包含读取属性和执行操作的一组权限。该角色允许用户读取和更改虚拟机属性。

分配权限时,可将用户或组与角色配对,并将该配对与清单对象关联。对于清单中的不同对象,单个用户或组可能有不同角色。

例如,如果清单中有两个资源池(池 A 和池 B),可以为特定用户在池 A 上分配虚拟机用户角色而在池 B 上分配只读角色。执行上述分配后,该用户可以打开池 A 中的虚拟机,而只能查看池 B 中的虚拟机。

默认情况下,vCenter Server 可提供系统角色和样本角色:

系统角色

系统角色是永久的。不能编辑与这些角色关联的特权。

样本角色

VMware 可为某些频繁执行的任务组合提供样本角色。您可以克隆、修改或移除这些角色。

注:

为避免丢失样本角色中的预定义设置,请先克隆角色,然后再对克隆进行修改。无法将样本重置为其默认设置。

用户只有在创建任务时其角色包含执行该任务所需的特权的情况下,才能调度任务。

注:

即使所涉及到的用户已登录,对角色和特权的更改也会立即生效。但搜索除外,更改会在用户注销再重新登录之后才生效。

vCenter ServerESXi 中的自定义角色

可以为 vCenter Server 及其管理的所有对象或者为各个主机创建自定义角色。

vCenter Server 自定义角色(推荐)

可使用 vSphere Web Client 中的角色编辑功能创建自定义角色,以创建符合用户需求的特权组。

ESXi 自定义角色

可以使用 CLI 或 vSphere Client 为各个主机创建自定义角色。请参见 《使用 vSphere Client 管理 vSphere》文档。自定义主机角色无法从 vCenter Server 进行访问。

如果通过 vCenter Server 管理 ESXi 主机,则在主机和 vCenter Server 中维护自定义角色可能会导致混淆和误用。在大多数情况下,建议定义 vCenter Server 角色。

使用 vCenter Server 管理主机时,可以通过 vCenter Server 创建与该主机关联的权限并将其存储在 vCenter Server 上。如果直接连接到主机,则只有直接在主机上创建的角色才可用。

注:

如果添加自定义角色,并不向其分配任何特权,则角色将创建为只读角色,且具有以下三个系统定义的特权:System.AnonymousSystem.ViewSystem.Read