默认情况下,具有 vCenter Server 管理员角色的用户可以与虚拟机客户机操作系统中的文件和应用程序交互。为了降低损害客户机保密性、可用性或完整性的风险,请创建没有虚拟机.客户机操作特权的非客户机访问角色。将该角色分配给不需要虚拟机文件访问权限的管理员。

为安全起见,请严格限制对虚拟数据中心的访问,严格程度与限制对物理数据中心的访问相同。将不包括虚拟机.客户机操作特权的自定义角色应用于需要管理员特权但无权与客户机操作系统文件和应用程序交互的用户。

例如,某项配置可能包括其上带有敏感信息的基础架构中的虚拟机。

如果通过 vMotion 迁移等任务要求数据中心管理员访问虚拟机,请停用某些远程客户机操作系统操作,确保这些管理员无法访问敏感信息。

前提条件

验证您对在其上创建该角色的 vCenter Server 系统是否拥有管理员特权。

过程

  1. 以对要在其上创建该角色的 vCenter Server 系统拥有管理员特权的用户身份登录 vSphere Client
  2. 选择系统管理,然后单击角色
  3. 单击管理员角色,然后单击克隆
  4. 输入角色名称和描述,然后单击确定
    例如,输入 无客户机访问权限的管理员
  5. 选择克隆的角色,然后单击编辑
  6. 虚拟机特权下,取消选择客户机操作。
  7. 单击保存

下一步做什么

选择 vCenter Server 系统或主机,并分配权限,该权限可将应具有新特权的用户或组配对到新创建的角色。从管理员角色中移除这些用户。