角色是一组预定义的特权。特权定义了执行操作和读取属性所需的权限。例如,虚拟机管理员角色允许用户读取和更改虚拟机属性。

分配权限时,可将用户或组与角色配对,并将该配对与清单对象关联。对于清单中的不同对象,单个用户或组可能有不同角色。

例如,假设清单中有两个资源池(池 A 和池 B)。可以为组 Sales 在池 A 上分配虚拟机用户角色,而在池 B 上分配只读角色。执行上述分配后,组 Sales 中的用户可以打开池 A 中的虚拟机,但只能查看池 B 中的虚拟机。

默认情况下,vCenter Server 可提供系统角色和样本角色。

系统角色
系统角色是永久的。不能编辑与这些角色关联的特权。
样本角色
VMware 可为某些频繁执行的任务组合提供样本角色。您可以克隆、修改或移除这些角色。
注: 为避免丢失样本角色中的预定义设置,请先克隆角色,然后再对克隆进行修改。无法将样本重置为其默认设置。

用户只有在创建任务时其角色包含执行该任务所需的特权的情况下,才能调度任务。

注: 即使所涉及到的用户已登录,对角色和特权的更改也会立即生效。但搜索除外,更改会在用户注销再重新登录之后才生效。

vCenter ServerESXi 中的自定义角色

可以为 vCenter Server 及其管理的所有对象或者为各个主机创建自定义角色。
vCenter Server 自定义角色(推荐)
可使用 vSphere Client 中的角色编辑功能创建自定义角色,以创建符合用户需求的特权组。
ESXi 自定义角色
可以使用 CLI 或 VMware Host Client 为各个主机创建自定义角色。请参见 《vSphere 单台主机管理 - VMware Host Client》文档。自定义主机角色无法从 vCenter Server 进行访问。
如果通过 vCenter Server 管理 ESXi 主机,请勿保留主机和 vCenter Server 中的自定义角色。在 vCenter Server 级别定义角色。
使用 vCenter Server 管理主机时,可以通过 vCenter Server 创建与该主机关联的权限并将其存储在 vCenter Server 上。如果直接连接到主机,则只有直接在主机上创建的角色才可用。
注: 如果您添加自定义角色而不向其分配任何特权,则该角色将创建为只读角色,且具有以下三个系统定义的特权: 系统.匿名系统.查看系统.读取。这些特权在 vSphere Client 中不显示,但用于读取某些受管对象的某些属性。 vCenter Server 中的所有预定义角色都包含这三个系统定义的特权。有关详细信息,请参见 《vSphere Web Services API》