角色是一组预定义的特权。特权定义了执行操作和读取属性所需的权限。例如,虚拟机管理员角色允许用户读取和更改虚拟机属性。
分配权限时,可将用户或组与角色配对,并将该配对与清单对象关联。对于清单中的不同对象,单个用户或组可能有不同角色。
例如,假设清单中有两个资源池(池 A 和池 B)。可以为组 Sales 在池 A 上分配虚拟机用户角色,而在池 B 上分配只读角色。执行上述分配后,组 Sales 中的用户可以打开池 A 中的虚拟机,但只能查看池 B 中的虚拟机。
默认情况下,vCenter Server 可提供系统角色和样本角色。
- 系统角色
- 系统角色是永久的。不能编辑与这些角色关联的特权。
- 样本角色
-
VMware 可为某些频繁执行的任务组合提供样本角色。您可以克隆、修改或移除这些角色。
注: 为避免丢失样本角色中的预定义设置,请先克隆角色,然后再对克隆进行修改。无法将样本重置为其默认设置。
用户只有在创建任务时其角色包含执行该任务所需的特权的情况下,才能调度任务。
注: 即使所涉及到的用户已登录,对角色和特权的更改也会立即生效。但搜索除外,更改会在用户注销再重新登录之后才生效。
vCenter Server 和 ESXi 中的自定义角色
可以为
vCenter Server 及其管理的所有对象或者为各个主机创建自定义角色。
- vCenter Server 自定义角色(推荐)
- 可使用 vSphere Client 中的角色编辑功能创建自定义角色,以创建符合用户需求的特权组。
- ESXi 自定义角色
- 可以使用 CLI 或 VMware Host Client 为各个主机创建自定义角色。请参见 《vSphere 单台主机管理 - VMware Host Client》文档。自定义主机角色无法从 vCenter Server 进行访问。
注: 如果您添加自定义角色而不向其分配任何特权,则该角色将创建为只读角色,且具有以下三个系统定义的特权:
、
和
。这些特权在
vSphere Client 中不显示,但用于读取某些受管对象的某些属性。
vCenter Server 中的所有预定义角色都包含这三个系统定义的特权。有关详细信息,请参见
《vSphere Web Services API》。