在 vSphere 中,特权是精细的访问控制,可以分成不同的角色组并将角色映射到用户或组。特权记录器可帮助您确定运行vCenter Server工作流所需的最低特权集。
要运行一组特定的操作,很难确定用户所需的最小特权集。特权与特定工作流没有一对一映射,该工作流通常由对在相应对象上操作的不同 API 的多次调用组成。因此,用户对环境的访问权限要么过多,要么太少。为了保证环境的安全,特权记录器功能可帮助您确定运行vCenter Server工作流所需的最低特权集。它使您能够监控和查询在执行操作时检查的特权。特权记录器是使用 REST API 实现的。
注: 此功能作为 API 提供,它仅支持脚本运行的工作流。不支持对特权记录器使用 UI。
通过查询 ListAPI,可以检索特权检查列表以及相应的会话、用户、受管对象和操作 ID (opID)。您可以使用相应的筛选器获取特定工作流的特权。
例如,假设用户 A 需要创建虚拟机。创建虚拟机需要一组特定的特权。用户 A 必须向系统管理员请求特权。系统管理员可以启用特权记录器并执行创建虚拟机操作。执行特权检查时,将存储在“创建虚拟机”操作期间检查的特权数据。数据包含 PrivilegeID、sessionID、OpID 等。在此示例中,此系统管理员将使用筛选器获取创建虚拟机工作流的特权。系统管理员现在可以创建具有最低所需特权的角色,并将其分配给用户。