VMware Cloud on AWS schränkt Ihren Zugang zu vSphere Ressourcen ein, die unter der Kontrolle des Dienstanbieters bleiben müssen. Es verhindert auch, dass Sie die in einem neuen SDDC erstellten Standardrollen ändern.
Der Dienstanbieter (VMware) erhält Superuser-Rechte für alle Anwender, Gruppen, Rechte, Rollen und Bestandslistenobjekte in Ihrem Unternehmen. Weitere Informationen zu Rollen und Rechten im System finden Sie unter Grundlegendes zur Autorisierung in vSphere in der Dokumentation zu VMware vSphere.
SDDC vCenter-Rollen
- CloudAdmin
- Die CloudAdmin-Rolle verfügt über die erforderlichen Berechtigungen zum Erstellen und Verwalten von SDDC-Arbeitslasten und verwandten Objekten wie Speicherrichtlinien, Inhaltsbibliotheken, vSphere-Tags und Ressourcenpools. Diese Rolle kann nicht auf Objekte zugreifen bzw. keine Objekte konfigurieren, die von VMware unterstützt und verwaltet werden, wie z. B. Hosts, Cluster und virtuelle Verwaltungsmaschinen. Die CloudAdmin-Rolle kann nicht standardmäßige Rollen erstellen, klonen oder ändern. Ausführliche Informationen zu den Berechtigungen, die dieser Rolle zugewiesen sind, finden Sie unter CloudAdmin-Berechtigungen.
- CloudGlobalAdmin
- Die CloudGlobalAdmin-Rolle ist eine interne Rolle, die während der SDDC-Bereitstellung vorhanden sein muss, aber nach Abschluss der Bereitstellung von einem CloudAdmin entfernt werden kann.
SDDC vCenter Benutzer und Gruppen
Ein neues SDDC wird mit einem einzigen Benutzerkonto für eine Organisation eingerichtet: [email protected]. Dieser Benutzer ist ein Mitglied der vCenter CloudAdminGroup und hat die vCenter-Rolle CloudAdmin. Obwohl diese Rolle keine Rechte zum Erstellen von lokalen vCenter-Benutzern oder -Gruppen im SDDC aufweist, verfügt sie über Rechte zum Konfigurieren von vCenter Single Sign-On und Hybrid Linked Mode, die Zugriff auf das SDDC-vCenter durch Single Sign-On-Benutzer ermöglichen. Siehe Konfigurieren des Hybrid Linked Mode in Verwalten des VMware Cloud on AWS-Datencenters.
AWS-Rollen
Zum Erstellen eines SDDC muss VMware Ihrem AWS-Konto mehrere erforderliche AWS-Rollen und -Berechtigungen hinzufügen. Die meisten Berechtigungen werden aus diesen Rollen entfernt, nachdem das SDDC erstellt wurde. Die anderen bleiben für die Rollen in Ihrem AWS-Konto erhalten.
Sie dürfen keine der verbleibenden AWS-Rollen und -Berechtigungen ändern. Wenn Sie dies tun, ist Ihr SDDC nicht mehr funktionsfähig.
Weitere Informationen finden Sie unter Kontoverknüpfung und die VMware Cloud on AWS CloudFormation-Vorlage.