加密操作特权控制哪些人可以在哪些对象类型上执行哪些类型的加密操作。

您可以在层次结构中的不同级别设置此特权。例如,如果您在文件夹级别设置了某项特权,则可以将此特权传播到该文件夹中的一个或多个对象。“要求”列中列出的对象必须具有特权组,可以直接具有,也可以通过继承获得。

表 1. 加密操作特权

特权名称

描述

要求

加密操作 > 直接访问

允许用户访问加密资源。例如,用户可以导出虚拟机、拥有虚拟机的 NFC 访问权限等。

虚拟机、主机或数据存储

加密操作 > 添加磁盘

允许用户向加密虚拟机添加磁盘。

虚拟机

加密操作 > 克隆

允许用户克隆加密虚拟机。

虚拟机

加密操作 > 解密

允许用户解密虚拟机或磁盘。

虚拟机

加密操作 > 加密

允许用户加密虚拟机或虚拟机磁盘。

虚拟机

加密操作 > 加密新项

允许用户在创建虚拟机时加密虚拟机或在创建磁盘时加密磁盘。

虚拟机文件夹

加密操作 > 管理加密策略

允许用户使用加密 IO 筛选器管理虚拟机存储策略。默认情况下,使用加密存储策略的虚拟机不使用其他存储策略。

vCenter Server root 文件夹

加密操作 > 管理密钥服务器

允许用户管理 vCenter Server 系统的密钥管理服务器。管理任务包括添加和移除 KMS 实例以及与 KMS 建立信任关系。

vCenter Server 系统。

加密操作 > 管理密钥

允许用户执行密钥管理操作。不支持通过 vSphere Web Client 执行这些操作,但可以通过使用 crypto-util 或 API 执行。

vCenter Server root 文件夹

加密操作 > 迁移

允许用户将加密虚拟机迁移到其他 ESXi 主机。支持使用或不使用 vMotion 和 Storage vMotion 进行迁移。不支持迁移到其他 vCenter Server 实例。

虚拟机

加密操作 > 重新加密

允许用户使用其他密钥重新加密虚拟机或磁盘。深层和浅层重新加密操作均需要此特权。

虚拟机

加密操作 > 注册虚拟机

允许用户向 ESXi 主机注册加密虚拟机。

虚拟机文件夹

加密操作 > 注册主机

允许用户在主机上启用加密。可以在主机上明确启用加密,或者在虚拟机创建过程中启用加密。

主机文件夹(对于独立主机),群集(对于群集中的主机)