Zur Bereitstellung und Verwaltung von NSX Data Center for vSphere sind bestimmte vCenter-Berechtigungen erforderlich. NSX Data Center for vSphere bietet umfangreiche Lese- und Schreibberechtigungen für unterschiedliche Benutzer und Rollen.
Funktionsliste mit Rollen und Berechtigungen
Hinweis:
- Rollen für Sicherheitstechniker und Netzwerktechniker sind in NSX 6.4.2 und höher verfügbar.
- Sicherheits- und Rollenadministrator ist bei NSX 6.4.5 und höher verfügbar.
Funktion | Beschreibung | Rollen | ||||||
---|---|---|---|---|---|---|---|---|
Auditor | Sicherheitsadmin | Sicherheitstechniker | NSX-Admin | Netzwerktechniker | Sicherheits- und Rollenadministrator | Unternehmensadmin | ||
Administrator | ||||||||
Konfiguration | vCenter - und SSO-Konfiguration mit NSX | L | L | L | L | L | L | L, S |
Aktualisieren | Kein Zugriff | Kein Zugriff | Kein Zugriff | L, S | L, S | Kein Zugriff | L, S | |
Systemereignisse | Systemereignisse | L | L, S | L, S | L, S | L, S | L, S | L, S |
Überwachungsprotokolle | Überwachungsprotokolle | L | L | L | L | L | L | L |
Debuggen | Kein Zugriff | Kein Zugriff | Kein Zugriff | Kein Zugriff | Kein Zugriff | Kein Zugriff | Kein Zugriff | |
Wartungsaufgaben | L | L | L | L, S | L, S | L | L, S | |
Deaktivieren der Standardauthentifizierung | L | L | L | L | L | L | L, S | |
Benutzerkonto-Management (URM) (User Account Management (URM)) | ||||||||
Benutzerkonten verwalten | Benutzer-Management | L |
Kein Zugriff | Kein Zugriff | L | L | L, S | L, S |
Objektzugriffssteuerung | Kein Zugriff | Kein Zugriff | Kein Zugriff | L | L | L | L | |
Funktionszugriffssteuerung | Kein Zugriff | Kein Zugriff | Kein Zugriff | L | L | L | L | |
Edge | ||||||||
System | System bezieht sich auf allgemeine Systemparameter | L | L | L | L, S | L, S | L | L, S |
Erweiterte Dienste | L | L, S | L, S | L | L | L, S | L, S | |
Appliance | Verschiedene Formfaktoren von NSX Edge (kompakt/groß/extra-groß/QuadLarge) | L | L | L | L, S | L, S | L | L, S |
High Availability | L | L | L | L, S | L, S | L | L, S | |
vNic | Schnittstellenkonfiguration in NSX Edge | L | L, S | L | L, S | L, S | L | L, S |
DNS | L | L, S | L | L | L, S | L | L, S | |
SSH | SSH-Konfiguration in NSX Edge | L | L, S | L | L, S | L, S | L | L, S |
Auto-Plumbing | L | L, S | L, S | L | L | L, S | L, S | |
Statistik | L | L | L | L | L | L | L, S | |
NAT | NAT-Konfiguration in NSX Edge | L | L, S | L | L | L, S | L | L, S |
DHCP | L | L, S | L | L | L, S | L | L, S | |
Lastausgleich | L | L, S | L | L | L, S | L | L, S | |
L3-VPN | L3-VPN | L | L, S | L | L | L, S | L | L, S |
VPN | L2-VPN, SSL-VPN | L | L, S | L | L | L, S | L | L, S |
Syslog | Syslog-Konfiguration in NSX Edge | L | L, S | L | L, S | L, S | L | L, S |
Support-Paket | R (Downloadzugriff) | L, S | L, S | L, S | L, S | L, S | L, S | |
Routing | Gesamtes statisches und dynamisches Routing (BGP/OSPF) in NSX Edge | L | L, S | L | L | L, S | L | L, S |
Firewall | Firewall-Konfiguration in NSX Edge | L | L, S | L, S | L | L | L, S | L, S |
Bridging | L | L, S | L | L | L, S | L | L, S | |
Zertifikat | L | L, S | L, S | L | L | L, S | L, S | |
Systemsteuerung | Die Systemsteuerung bezieht sich auf System-Kernel-Parameter wie Maximalgrenzen, IP-Weiterleitung, Netzwerk und Systemeinstellungen. Beispiel: ysctl.net.ipv4.conf.vNic_1.rp_filter sysctl.net.netfilter.nf_conntrack_tcp_timeout_established |
L | L, S | L, S | L, S | L, S | L, S | L, S |
verteilte Firewall (Distributed Firewall) | ||||||||
Firewall-Konfiguration |
|
L | L, S | L, S | L, S | Kein Zugriff | L, S | L, S |
Flows | Die Flow Monitoring dient der Überwachung der Datenverkehr-Flows im System. Live-Flows können ebenfalls überwacht werden. | L | L, S | L, S | Kein Zugriff | L, S | L, S | L, S |
IPFix-Konfiguration | IPFix-Aktivierung/-Deaktivierung und Zuweisung von Collectors | L | L, S | L, S | Kein Zugriff | L, S | L, S | L, S |
ForceSync | ForceSync führt eine vollständige Synchronisierung auf der Seite Installation und Aktualisieren > Hostvorbereitung (Installation and Upgrade > Host Preparation) durch | L | L | L, S | L, S | Kein Zugriff | L, S | L, S |
DFW installieren (Hostvorbereitung) | VIBS auf Clustern installieren | L | L | L | L, S | L, S | L | L, S |
Gespeicherte Konfigurationen (Entwürfe) | Bei jeder Veröffentlichung wird die vorhandene DFW-Konfiguration automatisch als Entwurf gespeichert | L | L, S | L, S | Kein Zugriff | Kein Zugriff | L, S | L, S |
Ausschlussliste | Hinzufügen von VMs zur Ausschlussliste, die NICHT durch DFW geschützt oder die entfernt werden sollen | L | L, S | L, S | Kein Zugriff | Kein Zugriff | L, S | L, S |
Technischer DFW-Support | Abrufen des technischen DFW-Support-Pakets von einem Host (nur NSX-Konfigurations-Shell) | Kein Zugriff | L, S | L, S | L, S | Kein Zugriff | L, S | L, S |
DFW-Sitzungs-Timer | TCP/UDP konfigurieren/Andere Zeitüberschreitungskonfiguration für Protokollverbindungen | L | L, S | L, S | Kein Zugriff | Kein Zugriff | L, S | L, S |
IP-Erkennung (DHCP/ARP-Snooping) | IP-Erkennung, wenn VMware Tools nicht auf Gast-VMs ausgeführt werden | L | L, S | L, S | L | Kein Zugriff | L, S | L, S |
Application Rule Manager | Flows werden für die ausgewählte Gruppe von Anwendungen erfasst. Basierend auf den erfassten Flows werden dann Firewallregeln erstellt. | L | L, S | L, S | Kein Zugriff | Kein Zugriff | L, S | L, S |
app.syslog | L | L | Kein Zugriff | L, S | Kein Zugriff | Kein Zugriff | L, S | |
Paketerfassung | L | L, S | L, S | L, S | L, S | L, S | L, S | |
NameSpace | ||||||||
Konfiguration | L | L | L | L, S | L, S | L | L, S | |
SpoofGuard | ||||||||
Konfiguration | SpoofGuard-Veröffentlichung im TOFU- oder manuellen Mode | L | L, S | L, S | Kein Zugriff | Kein Zugriff | L, S | L, S |
Endpoint-Sicherheit (EPSEC) (Endpoint Security (EPSEC)) | ||||||||
Berichte | L | L | L | L, S | L | L | L, S | |
Registrierung | Lösungen verwalten [registrieren, Registrierung aufheben, registrierte Lösungen abfragen, aktivieren] | L | Kein Zugriff | Kein Zugriff | L, S | L, S | Kein Zugriff | L, S |
Statusüberwachung | Systemzustand von VM, SVM in NSX Manager abrufen | Kein Zugriff | L | L | L | L | L | L |
Richtlinie | Sicherheitsrichtlinien verwalten [erstellen, lesen, aktualisieren, löschen] | L | L, S | L, S | L, S | L | L, S | L, S |
Zeitplan prüfen | L | Kein Zugriff | L, S | L, S | L | L, S | L, S | |
Bibliothek (Library) | ||||||||
Hostvorbereitung | Hostvorbereitungsaktion auf Cluster | Kein Zugriff | Kein Zugriff | Kein Zugriff | L, S | L, S | Kein Zugriff | L, S |
Gruppieren | IP Set, MAC Set, Sicherheitsgruppe, Dienst, Dienstgruppe | L | L, S | L, S | L | L | L, S | L, S |
Tagging | Sicherheits-Tag (beispielsweise VMs anhängen oder trennen) | L | L, S | L, S | L | L | L, S | L, S |
Installieren (Install) | ||||||||
App | Kein Zugriff | L | L | L, S | L, S | L | L, S | |
EPSEC | Kein Zugriff | L | L | L, S | L, S | L | L, S | |
DLP | Kein Zugriff | L | L | L, S | L, S | L | L, S | |
VDN | ||||||||
NSM konfigurieren | Network Security Manager konfigurieren | L | L | L | L, S | L, S | L | L, S |
Bereitstellen | L | L | L | L, S | L, S | L | L, S | |
ESX Agent Manager (EAM) | ||||||||
Installieren | ESX Agent Manager | Kein Zugriff | L | L | L, S | L, S | L | L, S |
Service Insertion | ||||||||
Dienst | L | L, S | L, S | L, S | L | L, S | L, S | |
Dienstprofil | L | L | L, S | L, S | L | L, S | L, S | |
Trust Store | ||||||||
trustentity_management | Verwaltung von NSX-Zertifikaten | L | L, S | L, S | L, S | L, S | L, S | L, S |
IP-Adressverwaltung (IPAM) (IP Address Management (IPAM)) | ||||||||
Konfiguration | Konfiguration des IP-Pools | L | L, S | L | L, S | L, S | L | L, S |
IP-Zuteilung | IP-Zuteilung und -Freigabe | L | L, S | L | L, S | L, S | L | L, S |
Sicherheits-Fabric (Security Fabric) | ||||||||
Bereitstellen | Dienst- oder Sicherheits-VM auf dem Cluster mithilfe der Dienstbereitstellung (Service Deployment) bereitstellen | L | L | L | L, S | L | L | L, S |
Alarme | Verwalten Sie auf der Seite Dienstbereitstellung (Service Deployment) Alarme, die von der Sicherheits-VM generiert werden | L | L, S | L | L, S | L, S | L | L, S |
Agent-Systemzustand | Verwalten des Alarms für den Agent-Systemzustand per REST-Aufruf, wird hauptsächlich von Partner-VMs genutzt | L | L, S | L, S | L, S | L, S | L, S | L, S |
Messaging | ||||||||
Messaging | Von NSX Edge und Guest Introspection für die Kommunikation mit NSX Manager verwendetes Messaging-Framework | L | L, S | L, S | L, S | L, S | L, S | L, S |
Replikator (Multi vCenter-Einrichtung mit sekundärem NSX Manager) (Replicator (Multi vCenter setup with secondary NSX Manager)) | ||||||||
Konfiguration | Wählen Sie die primäre Rolle für NSX Manager aus oder heben Sie die entsprechende Auswahl auf, und fügen Sie den sekundären NSX Manager hinzu, oder entfernen Sie ihn. | L | L | L | L, S | L, S | L | L, S |
blueprint_sam.featurelist | ||||||||
blueprint_sam.ad_config | Für die Konfiguration der Active Directory-Domäne verwendet | L | L | L | L, S | L, S | L | L, S |
Sicherheitsrichtlinie (Security Policy) | ||||||||
Konfiguration | Konfigurieren Sie die Sicherheitsrichtlinie zum Erstellen, Aktualisieren, Bearbeiten oder Löschen | L | L, S | L, S | Kein Zugriff | Kein Zugriff | L, S | L, S |
Sicherheitsgruppenbindung | Ordnen Sie die Sicherheitsgruppe einer Sicherheitsrichtlinie zu | L | L, S | L, S | Kein Zugriff | Kein Zugriff | L, S | L, S |
Richtlinie anwenden | L | L, S | L, S | Kein Zugriff | Kein Zugriff | L, S | L, S | |
Richtlinie synchronisieren | Synchronisierung der Sicherheitsrichtlinie mit DFW | L | Synchronisierung möglich | Synchronisierung möglich | Kein Zugriff | Kein Zugriff | Synchronisierung möglich | L, S |
NSX-Appliance-Verwaltung (NSX Appliance Management) (bei NSX 6.4 und höher) | ||||||||
NSX-Appliance-Verwaltung | NSX-Appliance-Verwaltung | L | L | L | L | L | L | L, S |
IP-Repository/IP-Ermittlung (IP Repository/IP Discovery) | ||||||||
Konfiguration | L | L, S | L, S | L | Kein Zugriff | L, S | L, S | |
Dashboard | ||||||||
Widget-Konfiguration | L | L, S | L | L, S | L | L | L, S | |
Systemkonfiguration | L | L, S | L | L, S | L | L | L, S | |
Upgrade-Koordinator (Upgrade Coordinator) | ||||||||
Upgrade durchführen | Kein Zugriff | Kein Zugriff | L | L, S | L | L | L, S | |
Upgrade-Plan | L | L | L | L, S | L | L | L, S | |
Paket für technischen Support (Tech Support Bundle) | ||||||||
Konfiguration | Endpoint | L, S | L, S | L, S | L, S | L, S | L, S | L, S |
Tokenbasierte Authentifizierung (Token Based Authentication) | ||||||||
Ungültigkeit | Kein Zugriff | Kein Zugriff | Kein Zugriff | Kein Zugriff | Kein Zugriff | Kein Zugriff | L, S | |
Betrieb (Ops) | ||||||||
Konfiguration | L | L | L | L, S | L | L | L, S |