遵循角色和权限的最佳做法可充分提高 vCenter Server 环境的安全性和易管理性。
在 vCenter Server 环境中配置角色和权限时,请遵循以下最佳做法:
- 如果可能,请向组分配角色,而不要向单个用户分配角色。
- 仅授予对被需要对象的权限,仅向必须拥有特权的用户或组分配特权。使用最少权限数以使了解和管理权限结构变得更容易。
- 如果要为组分配限制性角色,请检查该组是否不包括管理员用户或其他具有管理特权的用户。否则,您可能无意识地限制了部分清单层次结构(已从中向该组分配了限制性角色)中管理员的特权。
- 将对象分组到文件夹中,使权限分配变得更加轻松。例如,要授予对一组主机的修改权限并授予对另一组主机的查看权限,请将各组主机置于一个文件夹中。
- 向根 vCenter Server 对象添加权限时要小心。具有根级别特权的用户有权访问 vCenter Server 上的全局数据,例如,角色、自定义属性、vCenter Server 设置。
- 考虑向对象分配权限时启用传播功能。传播可确保对象层次结构中的新对象继承权限。例如,您可以为虚拟机文件夹分配权限并启用传播,以确保该权限适用于该文件夹中的所有虚拟机。
- 使用“无权访问”角色屏蔽层次结构的特定区域。“无权访问”角色会限制具有该角色的用户或组的访问权限。但是,对于虚拟机和 vAPP,权限传播链有两条。在其中一条链上分配具有“无权访问”角色的传播权限并不意味着相应的 vApp 或虚拟机不会传播任何特权。
- 对许可证所做的更改将传播到同一 vCenter Single Sign-On 域中的所有链接 vCenter Server 系统。
- 即使用户并未对所有 vCenter Server 系统拥有特权,也会发生许可证传播。