Bevor Sie mit der Arbeit in Cloud Assembly als Cloud-Administrator beginnen, müssen Sie Informationen zu Ihren Public Cloud- und Private Cloud-Konten erfassen. Mit dieser Checkliste können Sie mit dem Hinzufügen von Cloud-Ressourcen beginnen.

Notwendige globale Anmeldedaten

Aufgabe Voraussetzungen

Registrieren und Anmelden bei Cloud Assembly.

Eine VMware-ID.

  • Einrichten eines My VMware-Kontos unter Verwendung Ihrer geschäftlichen E-Mail-Adresse bei VMware Customer Connect.

Herstellen einer Verbindung zu vRealize Automation-Diensten

Offener HTTPS-Port 443 für ausgehenden Datenverkehr mit Zugriff über die Firewall auf:
  • *.vmwareidentity.com
  • gaz.csp-vidm-prod.com
  • *.vmware.com

Weitere Informationen zu Ports und Protokollen finden Sie unter VMware-Ports und -Protokolle.

Weitere Informationen zu Ports und Protokollen finden Sie unter Portanforderungen in der Hilfe zur Referenzarchitektur.

Anmeldedaten für vCenter-Cloud-Konten

In diesem Abschnitt werden die Anmeldedaten beschrieben, die zum Hinzufügen eines vCenter-Cloud-Kontos benötigt werden.

Berechtigungen werden benötigt, damit der vSphere-Agent die vCenter Server-Instanz verwalten kann. Bereitstellen eines Kontos mit den folgenden Lese- und Schreibberechtigungen:
  • IP-Adresse oder FQDN von vCenter

Die für die Verwaltung von VMware Cloud on AWS- und vCenter-Cloud-Konten notwendigen Berechtigungen werden aufgelistet. Berechtigungen müssen für alle Cluster im vCenter und nicht nur für Cluster aktiviert sein, die Endpoints hosten.

Zur Unterstützung der Steuerung des Virtual Trusted Platform Module (vTPM) von VMware beim Bereitstellen von Windows 11-VMs benötigen Sie die Berechtigung Kryptografische Vorgänge -> Direktzugriff in vCenter. Ohne diese Berechtigung ist der Konsolenzugriff von vRealize Automation auf Windows 11-VMs nicht möglich. Weitere Informationen finden Sie unter Übersicht über das Virtual Trusted Platform Module.

Für alle vCenter-basierten Cloud-Konten, einschließlich NSX-V, NSX-T, vCenter und VMware Cloud on AWS, muss der Administrator über Anmeldedaten des vSphere-Endpoints oder diejenigen Anmeldedaten verfügen, unter denen der Agent-Dienst in vCenter ausgeführt wird und die administrativen Zugriff auf den Host-vCenter bereitstellen.

Weitere Informationen zu den Anforderungen des vSphere-Agenten finden Sie in der VMware vSphere-Produktdokumentation.
Einstellung Auswahl
Datenspeicher
  • Speicher zuteilen
  • Datenspeicher durchsuchen
  • Dateivorgänge auf niedriger Ebene
Datenspeicher-Cluster
  • Einen Datenspeicher-Cluster konfigurieren
Ordner
  • Ordner erstellen
  • Ordner löschen
Global
  • Benutzerdefinierte Attribute verwalten
  • Benutzerdefiniertes Attribut festlegen
Netzwerk
  • Netzwerk zuweisen
Berechtigungen
  • Berechtigung ändern
Ressource
  • VM zu Ressourcenpool zuweisen
  • Ausgeschaltete virtuelle Maschine migrieren
  • Eingeschaltete virtuelle Maschine migrieren
Profilgesteuerter Speicher
  • Ansicht „Profilgesteuerter Speicher“

    Zur Rückgabe einer Liste mit Speicherrichtlinien, die einem Speicherprofil zugeordnet werden können, gewähren Sie allen Konten, die vRealize Automation mit vCenter verbinden, die Berechtigung „StorageProfile.View“.

Inhaltsbibliothek

Zum Zuweisen einer Berechtigung für eine Inhaltsbibliothek muss ein Administrator dem Benutzer die Berechtigung als globale Berechtigung erteilen. Weitere Informationen finden Sie im Abschnitt Hierarchische Vererbung von Berechtigungen für Inhaltsbibliotheken unter Verwaltung virtueller vSphere-Maschinen in der VMware vSphere-Dokumentation.

  • Bibliothekselement hinzufügen
  • Lokale Bibliothek erstellen
  • Abonnierte Bibliothek erstellen
  • Bibliothekselement löschen
  • Lokale Bibliothek löschen
  • Abonnierte Bibliothek löschen
  • Dateien herunterladen
  • Bibliothekselement entfernen
  • Abonnementinformationen prüfen
  • Speicherinfos lesen
  • Bibliothekselement synchronisieren
  • Abonnierte Bibliothek synchronisieren
  • Selbstüberprüfung des Typs
  • Konfigurationseinstellungen aktualisieren
  • Dateien aktualisieren
  • Bibliothek aktualisieren
  • Bibliothekselement aktualisieren
  • Lokale Bibliothek aktualisieren
  • Abonnierte Bibliothek aktualisieren
  • Konfigurationseinstellungen anzeigen
vSphere-Tags
  • vSphere-Tag zuweisen oder Zuweisung aufheben
  • Zuweisen oder Aufheben der Zuweisung eine vSphere-Tags zu einem Objekt
  • vSphere-Tag erstellen
  • Kategorie für vSphere-Tag erstellen
  • vSphere-Tag löschen
  • Kategorie für vSphere-Tag löschen
  • vSphere-Tag bearbeiten
  • Kategorie für vSphere-Tag bearbeiten
  • UsedBy-Feld oder -Kategorie ändern
  • UsedBy-Feld für Tag ändern
vApp
  • Importieren
  • vApp-Anwendungskonfiguration

    Die Anwendungskonfiguration „vApp.Import“ ist für OVF-Vorlagen und für die Bereitstellung von VMs aus der Inhaltsbibliothek erforderlich.

    Die Anwendungskonfiguration „vApp.vApp“ ist erforderlich, wenn Sie die cloud-init-Skripterstellung für die Cloud-Konfiguration verwenden. Diese Einstellung ermöglicht das Ändern der internen Struktur einer vApp, wie z. B. zugehöriger Produktinformationen und Eigenschaften.

Virtuelle Maschine – Bestandsliste
  • Aus vorhandener erstellen
  • Neue erstellen
  • Verschieben
  • Entfernen
Virtuelle Maschine – Interaktion
  • CD-Medien konfigurieren
  • Konsoleninteraktion
  • Geräteverbindung
  • Ausschalten
  • Einschalten
  • Zurücksetzen
  • Anhalten
  • Tools installieren
Virtuelle Maschine – Konfiguration
  • Vorhandene Festplatte hinzufügen
  • Neue Festplatte hinzufügen
  • Festplatte entfernen
  • Gerät hinzufügen oder entfernen
  • Erweitert
  • CPU-Anzahl ändern
  • Ressource ändern
  • Virtuelle Festplatte erweitern
  • Festplattenänderungsverfolgung
  • Arbeitsspeicher
  • Geräteeinstellungen ändern
  • Umbenennen
  • Anmerkung festlegen
  • Einstellungen
  • Platzierung der Auslagerungsdatei
Virtuelle Maschine – Bereitstellung
  • Anpassen
  • Vorlage klonen
  • Virtuelle Maschine klonen
  • Vorlage bereitstellen
  • Anpassungsspezifikationen lesen
Virtuelle Maschine – Zustand
  • Snapshot erstellen
  • Snapshot entfernen
  • Snapshot wiederherstellen

Anmeldedaten für AWS-Cloud-Konten (Amazon Web Services)

In diesem Abschnitt werden die Anmeldedaten beschrieben, die zum Hinzufügen eines Amazon Web Services-Cloud-Kontos benötigt werden. Im obigen Abschnitt Anmeldedaten für vCenter Cloud-Konten finden Sie Informationen zu den zusätzlichen Anforderungen für Anmeldedaten.

Bereitstellen eines Hauptbenutzerkontos mit Lese- und Schreibberechtigungen. Das Benutzerkonto muss Mitglied der Zugriffsrichtlinie für Hauptbenutzer (PowerUserAccess) im AWS-IAM-System (Identity and Access Management) sein.

Geben Sie die 20-stellige Zugriffsschlüssel-ID und den zugehörigen geheimen Zugriffsschlüssel ein.

Wenn Sie einen externen HTTP-Internet-Proxy verwenden, muss dieser für IPv4 konfiguriert sein.

Möglicherweise sind für die aktionsbasierte Erweiterbarkeit (ABX) und die externe IPAM-Integration von vRealize Automation zusätzliche Berechtigungen erforderlich.
Einstellung Auswahl
Aktionen für die automatische Skalierung

Die folgenden AWS-Berechtigungen werden empfohlen, um automatische Skalierungsfunktionen zuzulassen:

  • autoscaling:DescribeAutoScalingInstances
  • autoscaling:AttachInstances
  • autoscaling:DeleteLaunchConfiguration
  • autoscaling:DescribeAutoScalingGroups
  • autoscaling:CreateAutoScalingGroup
  • autoscaling:UpdateAutoScalingGroup
  • autoscaling:DeleteAutoScalingGroup
  • autoscaling:DescribeLoadBalancers
Ressourcen für die automatische Skalierung

Die folgenden Berechtigungen sind erforderlich, um Ressourcenberechtigungen für die automatische Skalierung zuzulassen:

  • *

    Stellen Sie alle Ressourcenberechtigungen für die automatische Skalierung bereit.

AWS STS-Ressourcen (AWS Security Token Service)

Die folgenden Berechtigungen sind erforderlich, damit die Funktionen des AWS Security Token Service (AWS STS) temporäre Anmeldedaten mit eingeschränkten Rechten für AWS-Identität und -Zugriff unterstützen können:

  • *

    Stellen Sie alle Berechtigungen für STS-Ressourcen bereit.

EC2-Aktionen

Die folgenden AWS-Berechtigungen sind erforderlich, um EC2-Funktionen zuzulassen:

  • ec2:AttachVolume
  • ec2:AuthorizeSecurityGroupIngress
  • ec2:DeleteSubnet
  • ec2:DeleteSnapshot
  • ec2:DescribeInstances
  • ec2:DeleteTags
  • ec2:DescribeRegions
  • ec2:DescribeVolumesModifications
  • ec2:CreateVpc
  • ec2:DescribeSnapshots
  • ec2:DescribeInternetGateways
  • ec2:DeleteVolume
  • ec2:DescribeNetworkInterfaces
  • ec2:StartInstances
  • ec2:DescribeAvailabilityZones
  • ec2:CreateInternetGateway
  • ec2:CreateSecurityGroup
  • ec2:DescribeVolumes
  • ec2:CreateSnapshot
  • ec2:ModifyInstanceAttribute
  • ec2:DescribeRouteTables
  • ec2:DescribeInstanceTypes
  • ec2:DescribeInstanceTypeOfferings
  • ec2:DescribeInstanceStatus
  • ec2:DetachVolume
  • ec2:RebootInstances
  • ec2:AuthorizeSecurityGroupEgress
  • ec2:ModifyVolume
  • ec2:TerminateInstances
  • ec2:DescribeSpotFleetRequestHistory
  • ec2:DescribeTags
  • ec2:CreateTags
  • ec2:RunInstances
  • ec2:DescribeNatGateways
  • ec2:StopInstances
  • ec2:DescribeSecurityGroups
  • ec2:CreateVolume
  • ec2:DescribeSpotFleetRequests
  • ec2:DescribeImages
  • ec2:DescribeVpcs
  • ec2:DeleteSecurityGroup
  • ec2:DeleteVpc
  • ec2:CreateSubnet
  • ec2:DescribeSubnets
  • ec2:RequestSpotFleet
    Hinweis: Die SpotFleet-Anforderungsberechtigung ist für die aktionsbasierte Erweiterbarkeit (ABX) oder die externen IPAM-Integrationen von vRealize Automation nicht erforderlich.
EC2-Ressourcen
  • *

    Stellen Sie alle Berechtigungen für EC2-Ressourcen bereit.

Elastic Load Balancing – Lastausgleichsdienstaktionen
  • elasticloadbalancing:DeleteLoadBalancer
  • elasticloadbalancing:DescribeLoadBalancers
  • elasticloadbalancing:RemoveTags
  • elasticloadbalancing:CreateLoadBalancer
  • elasticloadbalancing:DescribeTags
  • elasticloadbalancing:ConfigureHealthCheck
  • elasticloadbalancing:AddTags
  • elasticloadbalancing:CreateTargetGroup
  • elasticloadbalancing:DeleteLoadBalancerListeners
  • elasticloadbalancing:DeregisterInstancesFromLoadBalancer
  • elasticloadbalancing:RegisterInstancesWithLoadBalancer
  • elasticloadbalancing:CreateLoadBalancerListeners
Elastic Load Balancing – Lastausgleichsdienstressourcen
  • *

    Stellen Sie alle Berechtigungen für Lastausgleichsdienstressourcen bereit.

AWS Identity and Access Management (IAM)
Die folgenden Berechtigungen für die Identitäts- und Zugriffsverwaltung (IAM) von AWS können aktiviert werden, sind aber nicht erforderlich:
  • iam:SimulateCustomPolicy
  • iam:GetUser
  • iam:ListUserPolicies
  • iam:GetUserPolicy
  • iam:ListAttachedUserPolicies
  • iam:GetPolicyVersion
  • iam:ListGroupsForUser
  • iam:ListGroupPolicies
  • iam:GetGroupPolicy
  • iam:ListAttachedGroupPolicies
  • iam:ListPolicyVersions

Anmeldedaten für Microsoft Azure-Cloud-Konten

In diesem Abschnitt werden die Anmeldedaten beschrieben, die zum Hinzufügen eines Microsoft Azure-Cloud-Kontos benötigt werden.

Konfigurieren Sie eine Instanz von Microsoft Azure und rufen Sie ein gültiges Microsoft Azure-Abonnement ab, dessen Abonnement-ID verwendet werden kann.

Erstellen Sie eine Active Directory-Anwendung entsprechend der Beschreibung unter Vorgehensweise für die Verwendung des Portals zum Erstellen einer Azure AD-Anwendung und eines Dienstprinzipals für den Zugriff auf Ressourcen in der Microsoft Azure-Produktdokumentation.

Wenn Sie einen externen HTTP-Internet-Proxy verwenden, muss dieser für IPv4 konfiguriert sein.

  • Allgemeine Einstellungen
    Die folgenden allgemeinen Einstellungen sind erforderlich.
    Einstellung Beschreibung
    Abonnement-ID Ermöglicht den Zugriff auf Ihre Microsoft Azure-Abonnements.
    Mandanten-ID Der Autorisierungs-Endpoint für die Active Directory-Anwendungen, die Sie in Ihrem Microsoft Azure-Konto erstellen.
    Client-Anwendungs-ID Bietet Zugriff auf Microsoft Active Directory in Ihrem individuellen Microsoft Azure-Konto.
    Geheimer Schüssel der Client-Anwendung Der eindeutige geheime Schlüssel, der zur Kopplung mit Ihrer Client-Anwendungs-ID erzeugt wurde.
  • Einstellungen zum Erstellen und Validieren von Cloud-Konten
    Die folgenden Berechtigungen sind für das Erstellen und Validieren von Microsoft Azure-Cloud-Konten erforderlich.
    Einstellung Auswahl
    Microsoft Compute
    • Microsoft.Compute/virtualMachines/extensions/write
    • Microsoft.Compute/virtualMachines/extensions/read
    • Microsoft.Compute/virtualMachines/extensions/delete
    • Microsoft.Compute/virtualMachines/deallocate/action
    • Microsoft.Compute/virtualMachines/delete
    • Microsoft.Compute/virtualMachines/powerOff/action
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachines/restart/action
    • Microsoft.Compute/virtualMachines/start/action
    • Microsoft.Compute/virtualMachines/write
    • Microsoft.Compute/availabilitySets/write
    • Microsoft.Compute/availabilitySets/read
    • Microsoft.Compute/availabilitySets/delete
    • Microsoft.Compute/disks/delete
    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/write
    Microsoft Network
    • Microsoft.Network/loadBalancers/backendAddressPools/join/action
    • Microsoft.Network/loadBalancers/delete
    • Microsoft.Network/loadBalancers/read
    • Microsoft.Network/loadBalancers/write
    • Microsoft.Network/networkInterfaces/join/action
    • Microsoft.Network/networkInterfaces/read
    • Microsoft.Network/networkInterfaces/write
    • Microsoft.Network/networkInterfaces/delete
    • Microsoft.Network/networkSecurityGroups/join/action
    • Microsoft.Network/networkSecurityGroups/read
    • Microsoft.Network/networkSecurityGroups/write
    • Microsoft.Network/networkSecurityGroups/delete
    • Microsoft.Network/publicIPAddresses/delete
    • Microsoft.Network/publicIPAddresses/join/action
    • Microsoft.Network/publicIPAddresses/read
    • Microsoft.Network/publicIPAddresses/write
    • Microsoft.Network/virtualNetworks/read
    • Microsoft.Network/virtualNetworks/subnets/delete
    • Microsoft.Network/virtualNetworks/subnets/join/action
    • Microsoft.Network/virtualNetworks/subnets/read
    • Microsoft.Network/virtualNetworks/subnets/write
    • Microsoft.Network/virtualNetworks/write
    Microsoft Resources
    • Microsoft.Resources/subscriptions/resourcegroups/delete
    • Microsoft.Resources/subscriptions/resourcegroups/read
    • Microsoft.Resources/subscriptions/resourcegroups/write
    Microsoft Storage
    • Microsoft.Storage/storageAccounts/delete
    • Microsoft.Storage/storageAccounts/read
    • Microsoft.Storage/storageAccounts/write

    • Microsoft.Storage/storageAccounts/listKeys/action ist in der Regel nicht erforderlich, wird aber unter Umständen von Benutzern zur Anzeige von Speicherkonten benötigt.

    Microsoft Web
    • Microsoft.Web/sites/read
    • Microsoft.Web/sites/write
    • Microsoft.Web/sites/delete
    • Microsoft.Web/sites/config/read
    • Microsoft.Web/sites/config/write
    • Microsoft.Web/sites/config/list/action
    • Microsoft.Web/sites/publishxml/action
    • Microsoft.Web/serverfarms/write
    • Microsoft.Web/serverfarms/delete
    • Microsoft.Web/sites/hostruntime/functions/keys/read
    • Microsoft.Web/sites/hostruntime/host/read
    • Microsoft.web/sites/functions/masterkey/read
  • Einstellungen für aktionsbasierte Erweiterbarkeit
    Wenn Sie Microsoft Azure mit aktionsbasierter Erweiterbarkeit verwenden, sind neben den Mindestberechtigungen die folgenden Berechtigungen erforderlich.
    Einstellung Auswahl
    Microsoft Web
    • Microsoft.Web/sites/read
    • Microsoft.Web/sites/write
    • Microsoft.Web/sites/delete
    • Microsoft.Web/sites/*/action
    • Microsoft.Web/sites/config/read
    • Microsoft.Web/sites/config/write
    • Microsoft.Web/sites/config/list/action
    • Microsoft.Web/sites/publishxml/action
    • Microsoft.Web/serverfarms/write
    • Microsoft.Web/serverfarms/delete
    • Microsoft.Web/sites/hostruntime/functions/keys/read
    • Microsoft.Web/sites/hostruntime/host/read
    • Microsoft.Web/sites/functions/masterkey/read
    • Microsoft.Web/apimanagementaccounts/apis/read
    Microsoft Authorization
    • Microsoft.Authorization/roleAssignments/read
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    Microsoft Insights
    • Microsoft.Insights/Components/Read
    • Microsoft.Insights/Components/Write
    • Microsoft.Insights/Components/Query/Read

    Wenn die Eigenschaft Storage account public access should be disallowed einer Ressourcengruppe mit dem Effekttyp Deny zugewiesen ist, wird die automatische Erstellung von Speicherkonten für Erweiterbarkeitsaktionen verhindert. In einem solchen Szenario können die Erweiterbarkeitsaktionen nicht ausgeführt werden, wenn der FaaS-Anbieter auf Automatisch auswählen festgelegt ist. Sie müssen den FaaS-Anbieter manuell auf Microsoft Azure festlegen und das Speicherkonto und die Ressourcengruppe konfigurieren.

  • Einstellungen für aktionsbasierte Erweiterbarkeit mit Erweiterungen
    Wenn Sie Microsoft Azure mit aktionsbasierter Erweiterbarkeit und Erweiterungen verwenden, sind die folgenden Berechtigungen ebenfalls erforderlich.
    Einstellung Auswahl
    Microsoft.Compute
    • Microsoft.Compute/virtualMachines/extensions/write
    • Microsoft.Compute/virtualMachines/extensions/read
    • Microsoft.Compute/virtualMachines/extensions/delete

Verwandte Informationen zum Erstellen eines Microsoft Azure-Cloud-Kontos finden Sie unter Konfigurieren von Microsoft Azure.

Anmeldedaten für GCP-Cloud-Konten (Google Cloud Platform)

In diesem Abschnitt werden die Anmeldedaten beschrieben, die zum Hinzufügen eines Google Cloud Platform-Cloud-Kontos benötigt werden.

Das Cloud-Konto von Google Cloud Platform interagiert mit der Computing-Engine von Google Cloud Platform.

Zum Erstellen und Validieren von Google Cloud Platform-Cloud-Konten sind die Anmeldedaten des Projektadministrators und des Projektbesitzers erforderlich.

Wenn Sie einen externen HTTP-Internet-Proxy verwenden, muss dieser für IPv4 konfiguriert sein.

Der Computing-Engine-Dienst muss aktiviert werden. Verwenden Sie beim Erstellen des Cloud-Kontos in vRealize Automation das Dienstkonto, das beim Initialisieren der Computing-Engine erstellt wurde.

Außerdem sind die folgenden Berechtigungen für die Computing-Engine erforderlich, die sich nach den vom Benutzer durchzuführenden Aktionen richten.
Einstellung Auswahl

roles/compute.admin

Bietet vollständige Kontrolle über alle Computing-Engine-Ressourcen.

roles/iam.serviceAccountUse

Bietet Zugriff auf Benutzer, die VM-Instanzen verwalten, die für die Ausführung als Dienstkonto konfiguriert sind. Gewährt Zugriff auf die folgenden Ressourcen und Dienste:

  • compute.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

roles/compute.imageUser

Bietet ausschließlich die Berechtigung zum Auflisten und Lesen von Images, jedoch keine anderen Berechtigungen für das Image. Wenn die Rolle „compute.imageUser“ auf Projektebene zugewiesen wird, haben Benutzer die Möglichkeit, alle Images im Projekt aufzulisten. Außerdem können Benutzer Ressourcen (z. B. Instanzen und persistente Festplatten) auf der Basis von Images im Projekt erstellen.

  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.list
  • compute.images.useReadOnly
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

roles/compute.instanceAdmin

Bietet Berechtigungen zum Erstellen, Ändern und Löschen von VM-Instanzen. Dazu gehören Berechtigungen zum Erstellen, Ändern und Löschen von Festplatten sowie zum Konfigurieren von abgeschirmten VMBETA-Einstellungen.

Erteilen Sie diese Rolle Benutzern, die VM-Instanzen (aber keine Netzwerk- oder Sicherheitseinstellungen oder -instanzen, die als Dienstkonten ausgeführt werden) verwalten, für die Organisation, den Ordner oder das Projekt, welche die Instanzen enthalten, oder für die einzelnen Instanzen.

Benutzer, die VM-Instanzen verwalten, welche für die Ausführung als Dienstkonto konfiguriert sind, benötigen zudem die Rolle roles/iam.serviceAccountUser.

  • compute.acceleratorTypes
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.use
  • compute.autoscalers
  • compute.diskTypes
  • compute.disks.create
  • compute.disks.createSnapshot
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.list
  • compute.disks.resize
  • compute.disks.setLabels
  • compute.disks.update
  • compute.disks.use
  • compute.disks.useReadOnly
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalAddresses.use
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.list
  • compute.images.useReadOnly
  • compute.instanceGroupManagers
  • compute.instanceGroups
  • compute.instanceTemplates
  • compute.instances
  • compute.licenses.get
  • compute.licenses.list
  • compute.machineTypes
  • compute.networkEndpointGroups
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions
  • compute.reservations.get
  • compute.reservations.list
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

roles/compute.instanceAdmin.v1

Bietet vollständige Kontrolle über Instanzen, Instanzgruppen, Festplatten, Snapshots und Images der Computing-Engine. Bietet auch Lesezugriff auf alle Netzwerkressourcen der Computing-Engine.
Hinweis: Wenn Sie einem Benutzer diese Rolle auf der Instanzebene zuweisen, kann dieser Benutzer keine neuen Instanzen erstellen.
  • compute.acceleratorTypes
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.use
  • compute.autoscalers
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.diskTypes
  • compute.disks
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalAddresses.use
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images
  • compute.instanceGroupManagers
  • compute.instanceGroups
  • compute.instanceTemplates
  • compute.instances
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes
  • compute.licenses
  • compute.machineTypes
  • compute.networkEndpointGroups
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.projects.setCommonInstanceMetadata
  • compute.regionBackendServices.get
  • compute.regionBackendServices.list
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.snapshots
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Anmeldedaten für NSX-T-Cloud-Konten

In diesem Abschnitt werden die Anmeldedaten beschrieben, die zum Hinzufügen eines NSX-T-Cloud-Kontos benötigt werden.

Stellen Sie ein Konto mit den folgenden Lese- und Schreibberechtigungen bereit.
  • IP-Adresse oder FQDN von NSX-T
  • NSX-T Data Center – Enterprise-Administrator-Rolle und -Zugriffsanmeldedaten

Die Auditorrolle ist erforderlich.

Aktivieren Sie die folgenden Mindestberechtigungen basierend auf Anforderungen und Funktionen.
Kategorie/Unterkategorie Berechtigung
Netzwerk – Tier-0-Gateways Schreibgeschützt
Netzwerk – Tier-0-Gateways -> OSPF Keine
Netzwerk – Tier-1-Gateways Vollzugriff
Netzwerk – Segmente Vollzugriff
Netzwerk – VPN Keine
Netzwerk – NAT Vollzugriff
Netzwerk – Load Balancing Vollzugriff
Netzwerk – Weiterleitungsrichtlinie Keine
Netzwerk – Statistik Keine
Netzwerk – DNS Keine
Netzwerk – DHCP Vollzugriff
Netzwerk – IP-Adresspools Keine
Netzwerk – Profile Schreibgeschützt
Sicherheit – Bedrohungserkennung und Reaktion Keine
Sicherheit – Verteilte Firewall Vollzugriff
Sicherheit – IDS/IPS und Malware-Schutz Keine
Sicherheit – TLS-Prüfung Keine
Sicherheit – Identitätsbasierte Firewall Keine
Sicherheit – Gateway-Firewall Keine
Sicherheit – Dienstkettenverwaltung Keine
Sicherheit – Firewall-Zeitfenster Keine
Sicherheit – Profile Keine
Sicherheit – Dienstprofile Keine
Sicherheit – Firewall-Einstellungen Vollzugriff
Sicherheit – Gateway-Sicherheitseinstellungen Keine
Bestandsliste Vollzugriff
Fehlerbehebung Keine
System Keine

Administratoren benötigen ebenfalls Zugriff auf das vCenter (siehe Beschreibung im Abschnitt Anmeldedaten für vCenter-Cloud-Konten in diesem Thema).

Anmeldedaten für NSX-V-Cloud-Konten

In diesem Abschnitt werden die Anmeldedaten beschrieben, die zum Hinzufügen eines NSX-V-Cloud-Kontos benötigt werden.

Bereitstellen eines Kontos mit den folgenden Lese- und Schreibberechtigungen:
  • NSX-V-Enterprise-Administrator-Rolle und -Zugriffsanmeldedaten
  • IP-Adresse oder FQDN von NSX-V

Administratoren benötigen ebenfalls Zugriff auf das vCenter (siehe Beschreibung im Abschnitt Hinzufügen eines vCenter Cloud-Kontos in dieser Tabelle).

Anmeldedaten für vCD-Cloud-Konten (VMware Cloud Director)

In diesem Abschnitt werden die Anmeldedaten beschrieben, die zum Hinzufügen eines vCD-Cloud-Kontos (VMware Cloud Director) benötigt werden.

Zum Erstellen eines VMware Cloud Director-Cloud-Kontos in vRealize Automation müssen Sie Kontoanmeldedaten für einen VMware Cloud Director-Benutzer mit der Rolle Organisationsadministrator angeben. Insbesondere ist die folgende Teilmenge der Organisationsadministratorrolle, die in VMware Cloud Director verfügbar ist, zum Erstellen und Validieren von VMware Cloud Director-Cloud-Konten in vRealize Automation erforderlich:
Einstellung Auswahl
Zugriff auf alle Organisations-vDCs Alle
Katalog
  • vApp aus My Cloud hinzufügen
  • Private und freigegebene Kataloge anzeigen
  • Veröffentlichte Kataloge anzeigen
Allgemein
  • Administratorsteuerung
  • Administratoransicht
Metadaten-Dateieintrag Erstellen/Ändern
Organisationsnetzwerk
  • Eigenschaften bearbeiten
  • Ansicht
Organisations-vDC-Gateway
  • Ansicht
  • Eigenschaften bearbeiten
  • Eigenschaften anzeigen
Organisations-vDC
  • Ansicht
  • CPU- und Arbeitsspeicherreservierung anzeigen
Organisation
  • Eigenschaften bearbeiten
  • Ansicht
Kontingentrichtlinienfunktionen Ansicht
VDC-Vorlage
  • Instanziieren
  • Ansicht
vApp-Vorlage/Medien
  • Kopieren
  • Erstellen/Hochladen
  • Bearbeiten
  • Ansicht
  • VAPP_VM_METADATA_TO_VCENTER
vApp-Vorlage
  • Besitzer ändern
  • Auschecken
  • Herunterladen
vApp
  • Besitzer ändern
  • Kopieren
  • Erstellen/Neu konfigurieren
  • Löschen
  • Herunterladen
  • Eigenschaften bearbeiten
  • VM-CPU bearbeiten
  • VM-CPU und Speicherreservierungseinstellungen in allen VDC-Typen bearbeiten
  • VM-Festplatte bearbeiten
  • VM-Arbeitsspeicher bearbeiten
  • VM-Netzwerk bearbeiten
  • VM-Eigenschaften bearbeiten
  • VM-Kennworteinstellungen verwalten
  • Betriebsvorgänge
  • Freigabe
  • Snapshot-Vorgänge
  • Hochladen
  • Konsole verwenden
  • VM-Startoptionen
  • ACL anzeigen
  • VM-Metriken anzeigen
vDC-Gruppe
  • Konfiguration
  • Protokollierung konfigurieren
  • Ansicht
Das Erstellen und Verwenden eines VMware Cloud Director-Cloud-Kontos in vRealize Automation wird nicht unterstützt, wenn für vRealize Automation FIPS aktiviert ist.

Anmeldedaten für die vRealize Operations Manager-Integration

In diesem Abschnitt werden die Anmeldedaten beschrieben, die für die Integration mit vRealize Operations Manager benötigt werden. Beachten Sie, dass diese Anmeldedaten in vRealize Operations Manager und nicht in vRealize Automation eingerichtet und konfiguriert werden.

Geben Sie ein lokales oder nicht lokales Anmeldekonto für vRealize Operations Manager mit den folgenden Leseberechtigungen an.

  • Adapterinstanz vCenter Adapter > VC-Adapterinstanz für vCenter-FQDN

Ein nicht lokales Konto muss möglicherweise zuerst importiert werden, bevor Sie dessen schreibgeschützte Rolle zuweisen können.

NSX-Integration mit Microsoft Azure VMware Solution (AVS) für vRealize Automation

Weitere Informationen zum Herstellen einer Verbindung zwischen NSX unter Microsoft Azure VMware Solution (AVS) und vRealize Automation, einschließlich der Konfiguration benutzerdefinierter Rollen, finden Sie unter CloudAdmin-Benutzerberechtigungen in NSX-T Data Center in der Microsoft-Produktdokumentation.