在 vCenter Server 中,角色是一组预定义的特权,用于定义执行操作和读取属性的权限。通过将角色分配给对象的用户或组来创建权限。默认情况下,vCenter Server 可提供系统角色和样本角色。也可创建自定义角色。
在 vCenter Server 中分配权限
在 vCenter Server 中分配权限时,可将用户或组与角色配对,并将该配对与清单对象关联。例如,可以使用虚拟机用户样本角色允许用户读取和更改虚拟机属性。
对于清单中的不同对象,单个用户或组可能有不同角色。例如,假设清单中有两个资源池(池 A 和池 B)。您可以为组 Sales 在池 A 上分配虚拟机用户样本角色,而在池 B 上分配只读角色。执行上述分配后,组 Sales 中的用户可以打开池 A 中的虚拟机,但只能查看池 B 中的虚拟机。
用户只有在创建任务时其角色包含执行该任务所需的特权的情况下,才能调度任务。
什么是预定义的 vCenter Server 角色
如下表所示,vCenter Server 提供预定义的角色。
角色类型 | 角色名称 | 描述 |
---|---|---|
系统 | 管理员、只读和无权访问。 | 系统角色是永久的。您无法删除系统角色,也无法编辑与这些角色关联的特权。系统角色按层次结构进行组织。每个角色都继承前一个角色的特权。例如,管理员角色继承只读角色的特权。有关系统角色的更多详细信息,请参见以下部分。 |
样本 | vSphere 提供了许多样本角色,例如 AutoUpdateUser、资源池管理员和虚拟机用户。 | vSphere 可为某些频繁执行的任务组合提供样本角色。您可以克隆、修改或移除这些角色。
注: 为避免丢失样本角色中的预定义设置,请先克隆角色,然后再对克隆进行修改。无法将样本重置为其默认设置。
|
要查看与某个角色关联的特权,请在 vSphere Client 中导航到该角色(特权选项卡。
),然后单击要查看所有 vSphere 特权和描述,请参见定义的特权。
vCenter Server 系统角色
无法修改或删除系统角色。
vCenter Server 和 ESXi 中的自定义角色
- vCenter Server 自定义角色(推荐)
- 可使用 vSphere Client 中的角色编辑功能创建自定义角色,以创建符合用户需求的特权组。
- ESXi 自定义角色
- 可以使用 CLI 或 VMware Host Client 为各个主机创建自定义角色。请参见 《vSphere 单台主机管理 - VMware Host Client》文档。自定义主机角色无法从 vCenter Server 进行访问。
创建 vCenter Server 自定义角色
为了满足环境的访问控制需求,可以创建 vCenter Server 自定义角色。可以创建角色或克隆现有角色。
您可以在与其他 vCenter Server 系统属于同一个 vCenter Single Sign-On 域的 vCenter Server 系统上创建或编辑角色。VMware Directory Service (vmdir) 会将您所做的角色更改传播到组中的所有其他 vCenter Server 系统。对特定用户和对象的角色分配不会在 vCenter Server 系统上共享。
前提条件
过程
- 使用 vSphere Client 登录 vCenter Server。
- 选择系统管理,然后在访问控制区域中单击角色。
- 创建角色。
选项 描述 创建角色 - 单击新建。
- 输入新角色的名称。
- 选择和取消选择角色的特权。
滚动特权类别,然后为该类别选择所有特权或一部分特权。可以显示所有、已选择或未选择的类别。还可以显示所有、已选择或未选择的特权。有关详细信息,请参见定义的特权。
- 单击创建。
通过克隆创建角色 - 选择角色,然后单击克隆。
- 输入角色的名称。
- 单击确定。
注: 创建克隆的角色时,无法更改特权。要更改特权,请选择克隆的角色,然后单击 编辑。
下一步做什么
现在,您可以通过选择对象并将角色分配给该对象的用户或组来创建权限。