ESXi 仅向已分配有与对象相关的权限的用户授予访问对象的权限。向用户分配与对象相关的权限时,可通过将用户与角色进行配对来操作。

角色是一组预定义的特权。有关特权的详细信息,请参见 《vSphere 安全性》文档。

ESXi 主机可提供三种默认的角色,不可更改与这些角色相关联的特权。每个后续的默认角色均包括前一个角色的特权。例如,管理员角色继承只读角色的特权。您创建的角色不继承任何默认角色的特权。

可使用 VMware Host Client 中的角色编辑功能创建自定义角色,以创建符合用户需求的特权组。同样,在 vCenter Server 中无法访问在主机上直接创建的角色。仅当您直接从 VMware Host Client 登录主机时,才可使用这些角色。

注: 如果添加自定义角色而不向其分配任何特权,则角色将创建为只读角色,且具有以下三个系统定义的特权: System.AnonymousSystem.ViewSystem.Read

如果通过 vCenter Server 管理 ESXi 主机,则在主机和 vCenter Server 中维护自定义角色可能会导致混淆和误用。在此类型配置中,应仅在 vCenter Server 中维护自定义角色。

可通过使用 VMware Host Client 直接连接到 ESXi 主机来创建主机角色并设置权限。

VMware Host Client 中添加角色

您可以创建角色,以满足环境的访问控制需求。

前提条件

验证您是否以具有管理员特权的用户身份(如 root 或 vpxuser)登录。

过程

  1. VMware Host Client 清单中单击管理,然后单击安全性与用户
  2. 单击角色
  3. 单击添加角色
  4. 输入新角色的名称。
  5. 从列表中选择要与新角色关联的特权,然后单击添加

VMware Host Client 中更新角色

编辑角色时,可更改为该角色选择的特权。完成后,这些特权将应用于分配了编辑后角色的所有用户或组。

前提条件

验证您是否以具有管理员特权的用户身份(如 root 或 vpxuser)登录。

过程

  1. VMware Host Client 清单中单击管理,然后单击安全性与用户
  2. 单击角色
  3. 从列表中选择角色并单击编辑角色
  4. 更新角色详细信息并单击保存

VMware Host Client 中移除角色

在将未分配给任何用户或组的角色移除时,将从角色列表中移除定义。移除分配给用户或组的角色时,您可移除分配,或者使用其他角色的分配来替换它。

小心: 您必须在移除或替换所有分配之前,先了解用户会受到何种影响。没有授予权限的用户不能登录。

前提条件

验证您是否以具有管理员特权的用户身份(如 root 或 vpxuser)登录。

过程

  1. VMware Host Client 清单中单击管理,然后单击安全性与用户
  2. 单击角色
  3. 从列表中选择要移除的角色的名称。
  4. 单击移除角色,选择仅移除未使用,然后单击