默认情况下,具有 vCenter Server 管理员角色的用户可以与虚拟机客户机操作系统中的文件和应用程序交互。为了降低损害客户机保密性、可用性或完整性的风险,请创建没有客户机操作特权的非客户机访问角色。将该角色分配给不需要虚拟机文件访问权限的管理员。

为安全起见,请严格限制对虚拟数据中心的访问,严格程度与限制对物理数据中心的访问相同。将禁用客户机访问的自定义角色应用于需要管理员特权但无权与客户机操作系统文件和程序交互的用户。

例如,某项配置可能包括其上带有敏感信息的基础架构中的虚拟机。

如果通过 vMotion 迁移等任务要求数据中心管理员访问虚拟机,请禁用某些远程客户机操作系统操作,确保这些管理员无法访问敏感信息。

前提条件

验证您对在其上创建该角色的 vCenter Server 系统是否拥有管理员特权。

过程

  1. 以对要在其上创建该角色的 vCenter Server 系统拥有管理员特权的用户身份登录 vSphere Web Client
  2. 单击系统管理,然后选择角色
  3. 单击创建角色操作图标,然后键入角色的名称。
    例如,键入 无客户机访问权限的管理员
  4. 选择所有特权
  5. 通过取消选择所有特权.虚拟机.客户机操作,移除一组客户机操作特权。
  6. 单击确定

下一步做什么

选择 vCenter Server 系统或主机,并分配权限,该权限可将应具有新特权的用户或组配对到新创建的角色。从管理员角色中移除这些用户。