Zur Bereitstellung und Verwaltung von NSX Data Center for vSphere sind bestimmte vCenter-Berechtigungen erforderlich. NSX Data Center for vSphere bietet umfangreiche Lese- und Schreibberechtigungen für unterschiedliche Benutzer und Rollen.
Funktionsliste mit Rollen und Berechtigungen
Hinweis:
- Rollen für Sicherheitstechniker und Netzwerktechniker sind in NSX 6.4.2 und höher verfügbar.
- Sicherheits- und Rollenadministrator ist bei NSX 6.4.5 und höher verfügbar.
| Funktion | Beschreibung | Rollen | ||||||
|---|---|---|---|---|---|---|---|---|
| Auditor | Sicherheitsadmin | Sicherheitstechniker | NSX-Admin | Netzwerktechniker | Sicherheits- und Rollenadministrator | Unternehmensadmin | ||
| Administrator | ||||||||
| Konfiguration | vCenter - und SSO-Konfiguration mit NSX | L | L | L | L | L | L | L, S |
| Aktualisieren | Kein Zugriff | Kein Zugriff | Kein Zugriff | L, S | L, S | Kein Zugriff | L, S | |
| Systemereignisse | Systemereignisse | L | L, S | L, S | L, S | L, S | L, S | L, S |
| Überwachungsprotokolle | Überwachungsprotokolle | L | L | L | L | L | L | L |
| Debuggen | Kein Zugriff | Kein Zugriff | Kein Zugriff | Kein Zugriff | Kein Zugriff | Kein Zugriff | Kein Zugriff | |
| Wartungsaufgaben | L | L | L | L, S | L, S | L | L, S | |
| Deaktivieren der Standardauthentifizierung | L | L | L | L | L | L | L, S | |
| Benutzerkonto-Management (URM) (User Account Management (URM)) | ||||||||
| Benutzerkonten verwalten | Benutzer-Management | L |
Kein Zugriff | Kein Zugriff | L | L | L, S | L, S |
| Objektzugriffssteuerung | Kein Zugriff | Kein Zugriff | Kein Zugriff | L | L | L | L | |
| Funktionszugriffssteuerung | Kein Zugriff | Kein Zugriff | Kein Zugriff | L | L | L | L | |
| Edge | ||||||||
| System | System bezieht sich auf allgemeine Systemparameter | L | L | L | L, S | L, S | L | L, S |
| Erweiterte Dienste | L | L, S | L, S | L | L | L, S | L, S | |
| Appliance | Verschiedene Formfaktoren von NSX Edge (kompakt/groß/extra-groß/QuadLarge) | L | L | L | L, S | L, S | L | L, S |
| High Availability | L | L | L | L, S | L, S | L | L, S | |
| vNic | Schnittstellenkonfiguration in NSX Edge | L | L, S | L | L, S | L, S | L | L, S |
| DNS | L | L, S | L | L | L, S | L | L, S | |
| SSH | SSH-Konfiguration in NSX Edge | L | L, S | L | L, S | L, S | L | L, S |
| Auto-Plumbing | L | L, S | L, S | L | L | L, S | L, S | |
| Statistik | L | L | L | L | L | L | L, S | |
| NAT | NAT-Konfiguration in NSX Edge | L | L, S | L | L | L, S | L | L, S |
| DHCP | L | L, S | L | L | L, S | L | L, S | |
| Lastausgleich | L | L, S | L | L | L, S | L | L, S | |
| L3-VPN | L3-VPN | L | L, S | L | L | L, S | L | L, S |
| VPN | L2-VPN, SSL-VPN | L | L, S | L | L | L, S | L | L, S |
| Syslog | Syslog-Konfiguration in NSX Edge | L | L, S | L | L, S | L, S | L | L, S |
| Support-Paket | R (Downloadzugriff) | L, S | L, S | L, S | L, S | L, S | L, S | |
| Routing | Gesamtes statisches und dynamisches Routing (BGP/OSPF) in NSX Edge | L | L, S | L | L | L, S | L | L, S |
| Firewall | Firewall-Konfiguration in NSX Edge | L | L, S | L, S | L | L | L, S | L, S |
| Bridging | L | L, S | L | L | L, S | L | L, S | |
| Zertifikat | L | L, S | L, S | L | L | L, S | L, S | |
| Systemsteuerung | Die Systemsteuerung bezieht sich auf System-Kernel-Parameter wie Maximalgrenzen, IP-Weiterleitung, Netzwerk und Systemeinstellungen. Beispiel: ysctl.net.ipv4.conf.vNic_1.rp_filter sysctl.net.netfilter.nf_conntrack_tcp_timeout_established |
L | L, S | L, S | L, S | L, S | L, S | L, S |
| verteilte Firewall (Distributed Firewall) | ||||||||
| Firewall-Konfiguration |
|
L | L, S | L, S | L, S | Kein Zugriff | L, S | L, S |
| Flows | Die Flow Monitoring dient der Überwachung der Datenverkehr-Flows im System. Live-Flows können ebenfalls überwacht werden. | L | L, S | L, S | Kein Zugriff | L, S | L, S | L, S |
| IPFix-Konfiguration | IPFix-Aktivierung/-Deaktivierung und Zuweisung von Collectors | L | L, S | L, S | Kein Zugriff | L, S | L, S | L, S |
| ForceSync | ForceSync führt eine vollständige Synchronisierung auf der Seite Installation und Aktualisieren > Hostvorbereitung (Installation and Upgrade > Host Preparation) durch | L | L | L, S | L, S | Kein Zugriff | L, S | L, S |
| DFW installieren (Hostvorbereitung) | VIBS auf Clustern installieren | L | L | L | L, S | L, S | L | L, S |
| Gespeicherte Konfigurationen (Entwürfe) | Bei jeder Veröffentlichung wird die vorhandene DFW-Konfiguration automatisch als Entwurf gespeichert | L | L, S | L, S | Kein Zugriff | Kein Zugriff | L, S | L, S |
| Ausschlussliste | Hinzufügen von VMs zur Ausschlussliste, die NICHT durch DFW geschützt oder die entfernt werden sollen | L | L, S | L, S | Kein Zugriff | Kein Zugriff | L, S | L, S |
| Technischer DFW-Support | Abrufen des technischen DFW-Support-Pakets von einem Host (nur NSX-Konfigurations-Shell) | Kein Zugriff | L, S | L, S | L, S | Kein Zugriff | L, S | L, S |
| DFW-Sitzungs-Timer | TCP/UDP konfigurieren/Andere Zeitüberschreitungskonfiguration für Protokollverbindungen | L | L, S | L, S | Kein Zugriff | Kein Zugriff | L, S | L, S |
| IP-Erkennung (DHCP/ARP-Snooping) | IP-Erkennung, wenn VMware Tools nicht auf Gast-VMs ausgeführt werden | L | L, S | L, S | L | Kein Zugriff | L, S | L, S |
| Application Rule Manager | Flows werden für die ausgewählte Gruppe von Anwendungen erfasst. Basierend auf den erfassten Flows werden dann Firewallregeln erstellt. | L | L, S | L, S | Kein Zugriff | Kein Zugriff | L, S | L, S |
| app.syslog | L | L | Kein Zugriff | L, S | Kein Zugriff | Kein Zugriff | L, S | |
| Paketerfassung | L | L, S | L, S | L, S | L, S | L, S | L, S | |
| NameSpace | ||||||||
| Konfiguration | L | L | L | L, S | L, S | L | L, S | |
| SpoofGuard | ||||||||
| Konfiguration | SpoofGuard-Veröffentlichung im TOFU- oder manuellen Mode | L | L, S | L, S | Kein Zugriff | Kein Zugriff | L, S | L, S |
| Endpoint-Sicherheit (EPSEC) (Endpoint Security (EPSEC)) | ||||||||
| Berichte | L | L | L | L, S | L | L | L, S | |
| Registrierung | Lösungen verwalten [registrieren, Registrierung aufheben, registrierte Lösungen abfragen, aktivieren] | L | Kein Zugriff | Kein Zugriff | L, S | L, S | Kein Zugriff | L, S |
| Statusüberwachung | Systemzustand von VM, SVM in NSX Manager abrufen | Kein Zugriff | L | L | L | L | L | L |
| Richtlinie | Sicherheitsrichtlinien verwalten [erstellen, lesen, aktualisieren, löschen] | L | L, S | L, S | L, S | L | L, S | L, S |
| Zeitplan prüfen | L | Kein Zugriff | L, S | L, S | L | L, S | L, S | |
| Bibliothek (Library) | ||||||||
| Hostvorbereitung | Hostvorbereitungsaktion auf Cluster | Kein Zugriff | Kein Zugriff | Kein Zugriff | L, S | L, S | Kein Zugriff | L, S |
| Gruppieren | IP Set, MAC Set, Sicherheitsgruppe, Dienst, Dienstgruppe | L | L, S | L, S | L | L | L, S | L, S |
| Tagging | Sicherheits-Tag (beispielsweise VMs anhängen oder trennen) | L | L, S | L, S | L | L | L, S | L, S |
| Installieren (Install) | ||||||||
| App | Kein Zugriff | L | L | L, S | L, S | L | L, S | |
| EPSEC | Kein Zugriff | L | L | L, S | L, S | L | L, S | |
| DLP | Kein Zugriff | L | L | L, S | L, S | L | L, S | |
| VDN | ||||||||
| NSM konfigurieren | Network Security Manager konfigurieren | L | L | L | L, S | L, S | L | L, S |
| Bereitstellen | L | L | L | L, S | L, S | L | L, S | |
| ESX Agent Manager (EAM) | ||||||||
| Installieren | ESX Agent Manager | Kein Zugriff | L | L | L, S | L, S | L | L, S |
| Service Insertion | ||||||||
| Dienst | L | L, S | L, S | L, S | L | L, S | L, S | |
| Dienstprofil | L | L | L, S | L, S | L | L, S | L, S | |
| Trust Store | ||||||||
| trustentity_management | Verwaltung von NSX-Zertifikaten | L | L, S | L, S | L, S | L, S | L, S | L, S |
| IP-Adressverwaltung (IPAM) (IP Address Management (IPAM)) | ||||||||
| Konfiguration | Konfiguration des IP-Pools | L | L, S | L | L, S | L, S | L | L, S |
| IP-Zuteilung | IP-Zuteilung und -Freigabe | L | L, S | L | L, S | L, S | L | L, S |
| Sicherheits-Fabric (Security Fabric) | ||||||||
| Bereitstellen | Dienst- oder Sicherheits-VM auf dem Cluster mithilfe der Dienstbereitstellung (Service Deployment) bereitstellen | L | L | L | L, S | L | L | L, S |
| Alarme | Verwalten Sie auf der Seite Dienstbereitstellung (Service Deployment) Alarme, die von der Sicherheits-VM generiert werden | L | L, S | L | L, S | L, S | L | L, S |
| Agent-Systemzustand | Verwalten des Alarms für den Agent-Systemzustand per REST-Aufruf, wird hauptsächlich von Partner-VMs genutzt | L | L, S | L, S | L, S | L, S | L, S | L, S |
| Messaging | ||||||||
| Messaging | Von NSX Edge und Guest Introspection für die Kommunikation mit NSX Manager verwendetes Messaging-Framework | L | L, S | L, S | L, S | L, S | L, S | L, S |
| Replikator (Multi vCenter-Einrichtung mit sekundärem NSX Manager) (Replicator (Multi vCenter setup with secondary NSX Manager)) | ||||||||
| Konfiguration | Wählen Sie die primäre Rolle für NSX Manager aus oder heben Sie die entsprechende Auswahl auf, und fügen Sie den sekundären NSX Manager hinzu, oder entfernen Sie ihn. | L | L | L | L, S | L, S | L | L, S |
| blueprint_sam.featurelist | ||||||||
| blueprint_sam.ad_config | Für die Konfiguration der Active Directory-Domäne verwendet | L | L | L | L, S | L, S | L | L, S |
| Sicherheitsrichtlinie (Security Policy) | ||||||||
| Konfiguration | Konfigurieren Sie die Sicherheitsrichtlinie zum Erstellen, Aktualisieren, Bearbeiten oder Löschen | L | L, S | L, S | Kein Zugriff | Kein Zugriff | L, S | L, S |
| Sicherheitsgruppenbindung | Ordnen Sie die Sicherheitsgruppe einer Sicherheitsrichtlinie zu | L | L, S | L, S | Kein Zugriff | Kein Zugriff | L, S | L, S |
| Richtlinie anwenden | L | L, S | L, S | Kein Zugriff | Kein Zugriff | L, S | L, S | |
| Richtlinie synchronisieren | Synchronisierung der Sicherheitsrichtlinie mit DFW | L | Synchronisierung möglich | Synchronisierung möglich | Kein Zugriff | Kein Zugriff | Synchronisierung möglich | L, S |
| NSX-Appliance-Verwaltung (NSX Appliance Management) (bei NSX 6.4 und höher) | ||||||||
| NSX-Appliance-Verwaltung | NSX-Appliance-Verwaltung | L | L | L | L | L | L | L, S |
| IP-Repository/IP-Ermittlung (IP Repository/IP Discovery) | ||||||||
| Konfiguration | L | L, S | L, S | L | Kein Zugriff | L, S | L, S | |
| Dashboard | ||||||||
| Widget-Konfiguration | L | L, S | L | L, S | L | L | L, S | |
| Systemkonfiguration | L | L, S | L | L, S | L | L | L, S | |
| Upgrade-Koordinator (Upgrade Coordinator) | ||||||||
| Upgrade durchführen | Kein Zugriff | Kein Zugriff | L | L, S | L | L | L, S | |
| Upgrade-Plan | L | L | L | L, S | L | L | L, S | |
| Paket für technischen Support (Tech Support Bundle) | ||||||||
| Konfiguration | Endpoint | L, S | L, S | L, S | L, S | L, S | L, S | L, S |
| Tokenbasierte Authentifizierung (Token Based Authentication) | ||||||||
| Ungültigkeit | Kein Zugriff | Kein Zugriff | Kein Zugriff | Kein Zugriff | Kein Zugriff | Kein Zugriff | L, S | |
| Betrieb (Ops) | ||||||||
| Konfiguration | L | L | L | L, S | L | L | L, S | |
