Erweitern Sie die von NSX-T Data Center bereitgestellten RBAC-Funktionen und erstellen Sie benutzerdefinierte Rollen, die Ihren Betriebsanforderungen entsprechen. Sie können eine vorhandene Rolle klonen und anpassen oder eine neue Rolle erstellen. Ab NSX-T Data Center 3.1.1 können Sie auch vom Benutzer erstellte Rollen bearbeiten und löschen.

  • Sie können benutzerdefinierte Rollen nur für Funktionen erstellen, die im Richtlinienmodus verfügbar sind. Wenn Sie eine Rolle mit Zugriff auf Funktionen im Managermodus klonen, bietet die geklonte Rolle nur Zugriff auf die Funktionen des Richtlinienmodus. Beispielsweise sind Funktionen wie Upgrade, Migrieren, Fabric, Traceflow, NSX Intelligence und die Bestandsliste physischer Server und Container nur im Managermodus verfügbar und werden daher nicht unterstützt. Die meisten Funktionen werden unterstützt. Zu den nicht unterstützten Funktionen für Benutzer mit einer benutzerdefinierten Rolle gehören:
    • System > Konfiguration > Fabric > Profile
    • System > Konfiguration > Fabric > Transportzonen
    • System > Konfiguration > Fabric > Einstellungen > Tunnel/Remote und Tunnel-Endpoint
    • System > Konfiguration > Identitäts-Firewall-AD
    • System > Lebenszyklusverwaltung > Upgrade und Migration
    • System > Einstellungen > Benutzerverwaltung, Support-Paket, Proxy-Einstellungen und Benutzeroberflächeneinstellungen
    Weitere Informationen zu den Modi „Manager“ und „Richtlinie“ finden Sie unter NSX Manager.
  • Nur ein Enterprise-Administrator kann die Berechtigung der Rollenverwaltungsfunktion einer benutzerdefinierten Rolle zuweisen. Ein Enterprise-Administrator kann eine benutzerdefinierte Rolle erstellen, um die Erstellung weiterer benutzerdefinierter Rollen und die Benutzerrollenzuweisung zu delegieren.
  • Ein Benutzer mit einer zugewiesenen benutzerdefinierten Rolle kann nur andere benutzerdefinierte Rollen mit gleichen oder niedrigeren Berechtigungssätzen erstellen. Ein Benutzer mit einer benutzerdefinierten Rolle kann keine Rollen mit höheren Berechtigungen als den eigenen erstellen oder zuweisen.
  • Ein Benutzer mit einer zugewiesenen benutzerdefinierten Rolle kann die ihm zugewiesene Rolle nicht ändern oder löschen.
Hinweis: Benutzerdefinierte Rollen werden in Globaler Manager (Verbund) nicht unterstützt.

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Wählen Sie System > Benutzer und Rollen > Rollen aus.
  3. Klonen Sie eine vorhandene Rolle oder erstellen Sie eine neue Rolle.
    • Um eine Rolle zu klonen, klicken Sie auf Aktionsmenü für diese Rolle und wählen Sie Klonen aus. Geben Sie einen Namen für die geklonte Rolle ein und geben Sie die Berechtigungen entsprechend ihren Betriebsanforderungen an.
    • Um eine Rolle zu erstellen, klicken Sie auf Rolle hinzufügen. Geben Sie einen Namen für die Rolle ein und aktualisieren Sie die Berechtigungen entsprechend ihren Betriebsanforderungen.
    Hinweis:

    Basierend auf den von Ihnen ausgewählten Funktionen schlägt NSX-T Data Center unter Umständen zusätzliche Berechtigungen vor, damit die neue Rollendefinition gültig ist. Überprüfen Sie die Empfehlungen und klicken Sie auf Anwenden.

    Wenn Sie eine benutzerdefinierte Rolle erstellen, prüft NSX-T Data Center auf Funktionsabhängigkeiten. Die Überprüfung der Abhängigkeiten stellt sicher, dass der Benutzer mindestens über Lesezugriff auf die zusätzlichen Funktionen verfügt, die erforderlich sind, damit die Rolle gültig ist.

    Wenn beispielsweise ein Benutzer eine Rolle mit vollständigen Zugriffsberechtigungen für die Gateway-Firewall und der Zugriffsberechtigung Keine für die Netzwerk-Gateway-Funktion erstellt, ist die Rolle ungültig. NSX-T Data Center empfiehlt dem Benutzer dann, mindestens Lesezugriff auf die zusätzlich erforderliche Netzwerk-Gateway-Funktion zuzuweisen.

  4. (Optional) Bearbeiten oder löschen Sie eine vom Benutzer erstellte Rolle.
    • Um eine vom Benutzer erstellte Rolle zu bearbeiten, z. B. wenn Sie den Zugriff erweitern möchten, klicken Sie auf Aktionsmenü für diese Rolle und wählen Sie Bearbeiten aus. Ändern Sie den Rollennamen, die Beschreibung und die Berechtigungen entsprechend Ihren betrieblichen Anforderungen.
    • Um eine vom Benutzer erstellte Rolle zu löschen, z. B. wenn sie für einen temporären Zugriff bestimmt war, klicken Sie auf Aktionsmenü für diese Rolle und wählen Sie Löschen aus.