许多任务需要对 vSphere 清单中多个对象的权限。如果尝试执行任务的用户仅具有一个对象的特权,则无法成功完成该任务。
下表列出了需要多个特权的常见任务。您可以通过将用户与某个预定义的角色或多个特权进行配对,为清单对象添加权限。如果希望必须多次分配一组特权,请创建自定义角色。要了解有关常见任务所需特权的更多信息,请参见特权记录器。
请参阅《vSphere Web Services API 参考》,以了解 vSphere Client 用户界面中的操作如何映射到 API 调用,以及执行操作需要哪些特权。例如,AddHost_Task(addHost) 方法对应的 API 文档规定,向集群添加主机需要拥有 Host.Inventory.AddHostToCluster 特权。
如果要执行的任务不在此表中,以下规则说明了必须将权限分配到的位置以允许执行特定操作:
- 消耗存储空间的任何操作都需要目标数据存储的特权以及用于执行该操作本身的特权。例如,当创建虚拟磁盘或创建快照时,必须具有这些特权。
- 在清单层次结构中移动对象需要对象自身、源父对象(如文件夹或集群)和目标父对象上的适当特权。
- 每个主机和集群有其自身的固有资源池,其中包含该主机或集群的所有资源。将虚拟机直接部署到主机或集群需要特权。
| 任务 | 所需特权 | 适用角色 |
|---|---|---|
| 创建虚拟机 | 在目标文件夹或数据中心上:
|
管理员 |
| 在目标主机、集群或资源池上:
|
资源池管理员或管理员 | |
| 在目标数据存储或包含数据存储的文件夹上:
|
数据存储用户或管理员 | |
| 在虚拟机将分配到的网络上:
|
网络用户或管理员 | |
| 打开虚拟机电源 | 在其中部署虚拟机的数据中心上:
|
虚拟机超级用户或管理员 |
| 在虚拟机或虚拟机的文件夹上:
|
||
| 从模板部署虚拟机 | 在目标文件夹或数据中心上:
|
管理员 |
| 在模板或模板的文件夹上:
|
管理员 | |
| 在目标主机、集群或资源池上:
|
管理员 | |
| 在目标数据存储或数据存储的文件夹上:
|
数据存储用户或管理员 | |
| 在虚拟机将分配到的网络上:
|
网络用户或管理员 | |
| 生成虚拟机快照 | 在虚拟机或虚拟机的文件夹上:
|
虚拟机超级用户或管理员 |
| 将虚拟机移动到资源池中 | 在虚拟机或虚拟机的文件夹上:
|
管理员 |
| 在目标资源池上:
|
管理员 | |
| 在虚拟机上安装客户机操作系统 | 在虚拟机或虚拟机的文件夹上:
|
虚拟机超级用户或管理员 |
| 在包含安装媒体 ISO 映像的数据存储上: (如果从数据存储上的 ISO 映像安装) 在向其上载安装介质 ISO 映像的数据存储上: |
虚拟机超级用户或管理员 | |
| 通过 vMotion 迁移虚拟机 | 在虚拟机或虚拟机的文件夹上:
|
资源池管理员或管理员 |
| 在目标主机、集群或资源池上(如果与源主机、集群或资源池不同):
|
资源池管理员或管理员 | |
| 冷迁移(重定位)虚拟机 | 在虚拟机或虚拟机的文件夹上:
|
资源池管理员或管理员 |
| 在目标主机、集群或资源池上(如果与源主机、集群或资源池不同):
|
资源池管理员或管理员 | |
| 在目标数据存储上(如果与源数据存储不同):
|
数据存储用户或管理员 | |
| 通过 Storage vMotion 迁移虚拟机 | 在虚拟机或虚拟机的文件夹上:
|
资源池管理员或管理员 |
| 在目标数据存储上:
|
数据存储用户或管理员 | |
| 将主机移动到集群 | 在主机上:
|
管理员 |
| 在目标集群上:
|
管理员 | |
| 使用 vSphere Client 将单个主机添加到数据中心,或者使用 PowerCLI 或 API(利用 addHost API)将单个主机添加到集群 | 在主机上: |
管理员 |
| 在集群上:
|
管理员 | |
| 在数据中心上: |
管理员 | |
| 将多个主机添加到集群 | 在集群上:
|
管理员 |
| 在集群的父数据中心(具有传播权限)上:
|
管理员 | |
| 加密虚拟机 | 只有在包含 vCenter Server 的环境中才能执行加密任务。此外,ESXi 主机必须为大多数加密任务启用加密模式。执行任务的用户必须拥有相应的特权。一组加密操作特权可实现精细控制。请参见虚拟机加密任务的必备条件和必需特权。 |
管理员 |
| 保护虚拟机(如果使用 vSphere+ 保护虚拟机) | 在其中部署虚拟机的数据中心上:
|
管理员 |
