Para configurar y trabajar con cuentas de nube en VMware Aria Automation, compruebe que dispone de las siguientes credenciales.

Credenciales generales obligatorias

Para... Necesita...

Registrarse e iniciar sesión en Automation Assembler

Un identificador de VMware.

  • Configure una cuenta de My VMware usando su dirección de correo electrónico corporativa en VMware Customer Connect.

Conectarse a los servicios de VMware Aria Automation

El puerto HTTPS 443 abierto al tráfico saliente con acceso a través de firewall a:
  • *.vmwareidentity.com
  • gaz.csp-vidm-prod.com
  • *.vmware.com

Para obtener más información sobre puertos y protocolos, consulte Puertos y protocolos de VMware.

Para obtener más información sobre puertos y protocolos, consulte Requisitos de puertos en la ayuda de Arquitectura de referencia.

Credenciales de cuenta de nube de vCenter

En esta sección, se describen las credenciales requeridas para agregar una cuenta de nube de vCenter.

Se necesitan privilegios para que el agente de vSphere administre la instancia de vCenter. Proporcionar una cuenta con los siguientes privilegios de lectura y escritura:
  • Dirección IP o FQDN de vCenter

Se enumeran los permisos necesarios para administrar las cuentas de nube de VMware Cloud on AWS y vCenter. Los permisos deben estar habilitados para todos los clústeres de vCenter, no solo para los clústeres que alojan endpoints.

Para admitir el control de Virtual Trusted Platform Module (vTPM) de VMware al implementar máquinas virtuales de Windows 11, debe tener el privilegio operaciones criptográficas -> acceso directo en vCenter. Sin este privilegio, no es posible acceder a la consola desde VMware Aria Automation a las máquinas virtuales de Windows 11. Para obtener información relacionada, consulte Descripción general del módulo de plataforma de confianza virtual.

Para todas las cuentas de nube basadas en vCenter, entre las que se incluyen NSX-V, NSX-T, vCenter y VMware Cloud on AWS, el administrador debe tener credenciales de endpoint de vSphere o las credenciales con las que el servicio del agente se ejecuta en vCenter, las cuales proporcionan acceso administrativo a la instancia de vCenter de host.

Para obtener más información sobre los requisitos del agente de vSphere, consulte la documentación del producto de VMware vSphere.
Ajuste Selección
Biblioteca de contenido

Para asignar un privilegio a una biblioteca de contenido, un administrador debe conceder el privilegio al usuario como privilegio global. Para obtener información relacionada, consulte Herencia jerárquica de permisos para bibliotecas de contenido en Administrar máquinas virtuales de vSphere en la documentación de VMware vSphere.

  • Agregar elemento de biblioteca
  • Crear biblioteca local
  • Crear biblioteca suscrita
  • Eliminar elemento de biblioteca
  • Eliminar biblioteca local
  • Eliminar biblioteca suscrita
  • Descargar archivos
  • Desalojar elemento de biblioteca
  • Sondear información de suscripción
  • Leer almacenamiento
  • Sincronizar elemento de biblioteca
  • Sincronizar biblioteca suscrita
  • Escribir introspección
  • Actualizar opciones de configuración
  • Actualizar archivos
  • Actualizar biblioteca
  • Actualizar elemento de biblioteca
  • Actualizar biblioteca local
  • Actualizar biblioteca suscrita
  • Ver opciones de configuración
Almacén de datos
  • Asignar espacio
  • Examinar almacén de datos
  • Operaciones de archivo de bajo nivel
Clúster de almacenes de datos
  • Configurar un clúster de almacenes de datos
Carpeta
  • Crear carpeta
  • Eliminar carpeta
Global
  • Administrar atributos personalizados
  • Establecer atributo personalizado
Red
  • Asignar red
Permisos
  • Modificar permiso
Profile-Driven Storage
  • Vista de Profile-Driven Storage

    Para devolver una lista de directivas de almacenamiento que se pueden asignar a un perfil de almacenamiento, conceda el privilegio StorageProfile.View a todas las cuentas que conecten VMware Aria Automation a vCenter.

Recurso
  • Asignar máquina virtual a grupo de recursos
  • Migrar máquina virtual apagada
  • Migrar máquina virtual encendida
vApp
  • Importar
  • Configuración de aplicación vApp

    La configuración de la aplicación vApp.Import es necesaria para las plantillas de OVF y para aprovisionar las máquinas virtuales desde la biblioteca de contenido.

    Se requiere la configuración de la aplicación vApp.vApp cuando se utiliza cloud-init para la creación de scripts de configuración de nube. Esta configuración permite modificar la estructura interna de una vApp, como la información y las propiedades de un producto.

Máquina virtual
Cambiar configuración
  • Agregar disco existente
  • Agregar disco nuevo
  • Agregar o eliminar dispositivo
  • Configuración avanzada
  • Cambiar recuento de CPU
  • Cambiar memoria
  • Cambiar configuración
  • Cambiar ubicación del archivo de intercambio
  • Cambiar recurso
  • Extender disco virtual
  • Modificar configuración de dispositivo
  • Eliminar disco
  • Cambiar nombre
  • Establecer anotación
  • Alternar seguimiento de cambios de disco
Editar inventario
  • Crear a partir de existente
  • Crear nuevo
  • Mover
  • Eliminar
Interacción
  • Configurar CD
  • Conectar dispositivos
  • Interacción de consola
  • Instalar VMware Tools
  • Apagar
  • Encender
  • Restablecer
  • Suspender
Aprovisionamiento
  • Clonar plantilla
  • Clonar máquina virtual
  • Personalizar invitado
  • Implementar plantilla
  • Leer especificaciones de personalización
Administración de instantáneas
  • Crear instantánea
  • Quitar instantánea
  • Revertir a instantánea
Etiquetado de vSphere
  • Asignar etiqueta de vSphere o anular esta asignación
  • Asignar o anular la asignación de una etiqueta de vSphere en un objeto
  • Crear etiqueta de vSphere
  • Crear una categoría de etiquetas de vSphere
  • Eliminar etiqueta de vSphere
  • Eliminar una categoría de etiquetas de vSphere
  • Editar etiqueta de vSphere
  • Editar una categoría de etiquetas de vSphere
  • Modificar campo UsedBy de la categoría
  • Modificar campo UsedBy de la etiqueta

Credenciales de cuenta de nube de Amazon Web Services (AWS)

En esta sección, se describen las credenciales requeridas para agregar una cuenta de nube de Amazon Web Services. Consulte la sección Credenciales de cuenta de nube de vCenter anterior para conocer los requisitos adicionales de las credenciales.

Proporcionar una cuenta de usuario avanzado con privilegios de lectura y escritura. La cuenta de usuario debe pertenecer a la directiva de acceso de alimentación (PowerUserAccess) en el sistema de administración de identidades y acceso (Identity and Access Management, IAM) de AWS.

Habilite el identificador de clave de acceso de 20 dígitos y el acceso a la clave de acceso secreta correspondiente.

Si utiliza un proxy de Internet HTTP externo, debe configurarlo para IPv4.

La extensibilidad basada en acciones (Actions-based Extensibility, ABX) de VMware Aria Automation y la integración de IPAM externa pueden requerir permisos adicionales.
Ajuste Selección
Acciones de ajuste automático de escala

Se recomiendan los siguientes permisos de AWS para permitir las funciones de ajuste automático de escala:

  • autoscaling:DescribeAutoScalingInstances
  • autoscaling:AttachInstances
  • autoscaling:DeleteLaunchConfiguration
  • autoscaling:DescribeAutoScalingGroups
  • autoscaling:CreateAutoScalingGroup
  • autoscaling:UpdateAutoScalingGroup
  • autoscaling:DeleteAutoScalingGroup
  • autoscaling:DescribeLoadBalancers
Recursos de ajuste automático de escala

Se requieren los siguientes permisos para habilitar los permisos de recursos de ajuste automático de escala:

  • *

    Proporcione todos los permisos de recursos de ajuste automático de escala.

Recursos del servicio de token de seguridad de AWS (AWS Security Token Service, AWS STS)

Se requieren los siguientes permisos para permitir que las funciones del servicio de token de seguridad de AWS (AWS Security Token Service, AWS STS) admitan credenciales temporales de privilegios limitados para la identidad y el acceso de AWS:

  • *

    Proporcione todos los permisos de recursos de STS.

Acciones de EC2

Se requieren los siguientes permisos de AWS para permitir las funciones de EC2:

  • ec2:AttachVolume
  • ec2:AuthorizeSecurityGroupIngress
  • ec2:DeleteSubnet
  • ec2:DeleteSnapshot
  • ec2:DescribeInstances
  • ec2:DeleteTags
  • ec2:DescribeRegions
  • ec2:DescribeVolumesModifications
  • ec2:CreateVpc
  • ec2:DescribeSnapshots
  • ec2:DescribeInternetGateways
  • ec2:DeleteVolume
  • ec2:DescribeNetworkInterfaces
  • ec2:StartInstances
  • ec2:DescribeAvailabilityZones
  • ec2:CreateInternetGateway
  • ec2:CreateSecurityGroup
  • ec2:DescribeVolumes
  • ec2:CreateSnapshot
  • ec2:ModifyInstanceAttribute
  • ec2:DescribeRouteTables
  • ec2:DescribeInstanceTypes
  • ec2:DescribeInstanceTypeOfferings
  • ec2:DescribeInstanceStatus
  • ec2:DetachVolume
  • ec2:RebootInstances
  • ec2:AuthorizeSecurityGroupEgress
  • ec2:ModifyVolume
  • ec2:TerminateInstances
  • ec2:DescribeSpotFleetRequestHistory
  • ec2:DescribeTags
  • ec2:CreateTags
  • ec2:RunInstances
  • ec2:DescribeNatGateways
  • ec2:StopInstances
  • ec2:DescribeSecurityGroups
  • ec2:CreateVolume
  • ec2:DescribeSpotFleetRequests
  • ec2:DescribeImages
  • ec2:DescribeVpcs
  • ec2:DeleteSecurityGroup
  • ec2:DeleteVpc
  • ec2:CreateSubnet
  • ec2:DescribeSubnets
  • ec2:RequestSpotFleet
    Nota: El permiso de solicitud de SpotFleet no es necesario para la extensibilidad basada en acciones de VMware Aria Automation ni las integraciones de IPAM externas.
Recursos de EC2
  • *

    Proporcione todos los permisos de recursos de EC2.

Equilibrio de carga flexible: acciones del equilibrador de carga
  • elasticloadbalancing:DeleteLoadBalancer
  • elasticloadbalancing:DescribeLoadBalancers
  • elasticloadbalancing:RemoveTags
  • elasticloadbalancing:CreateLoadBalancer
  • elasticloadbalancing:DescribeTags
  • elasticloadbalancing:ConfigureHealthCheck
  • elasticloadbalancing:AddTags
  • elasticloadbalancing:CreateTargetGroup
  • elasticloadbalancing:DeleteLoadBalancerListeners
  • elasticloadbalancing:DeregisterInstancesFromLoadBalancer
  • elasticloadbalancing:RegisterInstancesWithLoadBalancer
  • elasticloadbalancing:CreateLoadBalancerListeners
Equilibrio de carga flexible: recursos del equilibrador de carga
  • *

    Proporcione todos los permisos de recursos del equilibrador de carga.

Administración de identidades y acceso (Identity and Access Management, IAM) de AWS
Pueden habilitarse los siguientes permisos de administración de identidades y acceso (Identity and Access Management, IAM) de AWS, aunque no son obligatorios:
  • iam:SimulateCustomPolicy
  • iam:GetUser
  • iam:ListUserPolicies
  • iam:GetUserPolicy
  • iam:ListAttachedUserPolicies
  • iam:GetPolicyVersion
  • iam:ListGroupsForUser
  • iam:ListGroupPolicies
  • iam:GetGroupPolicy
  • iam:ListAttachedGroupPolicies
  • iam:ListPolicyVersions

Credenciales de cuenta de nube de Microsoft Azure

En esta sección, se describen las credenciales requeridas para agregar una cuenta de nube de Microsoft Azure.

Configure una instancia de Microsoft Azure y obtenga una suscripción válida a Microsoft Azure a partir de la que pueda usar el identificador de suscripción.

Cree una aplicación de Active Directory como se describe en Procedimientos: Uso del portal para crear una aplicación de Azure AD y una entidad de servicio con acceso a los recursos en la documentación del producto de Microsoft Azure.

Si utiliza un proxy de Internet HTTP externo, debe configurarlo para IPv4.

  • Configuración general
    Se requieren los siguientes ajustes generales.
    Ajuste Descripción
    Identificador de suscripción Permite acceder a las suscripciones de Microsoft Azure.
    Identificador de tenant Es el endpoint de autorización de las aplicaciones de Active Directory que se crean en la cuenta de Microsoft Azure.
    Identificador de la aplicación cliente Otorga acceso a Microsoft Active Directory en la cuenta individual de Microsoft Azure.
    Clave secreta de la aplicación cliente Es la clave secreta única generada para emparejarse con el identificador de la aplicación cliente.
  • Configuración para crear y validar cuentas de nube
    Se necesitan los siguientes permisos para crear y validar cuentas de nube de Microsoft Azure.
    Ajuste Selección
    Microsoft Compute
    • Microsoft.Compute/virtualMachines/extensions/write
    • Microsoft.Compute/virtualMachines/extensions/read
    • Microsoft.Compute/virtualMachines/extensions/delete
    • Microsoft.Compute/virtualMachines/deallocate/action
    • Microsoft.Compute/virtualMachines/delete
    • Microsoft.Compute/virtualMachines/powerOff/action
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachines/restart/action
    • Microsoft.Compute/virtualMachines/start/action
    • Microsoft.Compute/virtualMachines/write
    • Microsoft.Compute/availabilitySets/write
    • Microsoft.Compute/availabilitySets/read
    • Microsoft.Compute/availabilitySets/delete
    • Microsoft.Compute/disks/delete
    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/write
    Microsoft Network
    • Microsoft.Network/loadBalancers/backendAddressPools/join/action
    • Microsoft.Network/loadBalancers/delete
    • Microsoft.Network/loadBalancers/read
    • Microsoft.Network/loadBalancers/write
    • Microsoft.Network/networkInterfaces/join/action
    • Microsoft.Network/networkInterfaces/read
    • Microsoft.Network/networkInterfaces/write
    • Microsoft.Network/networkInterfaces/delete
    • Microsoft.Network/networkSecurityGroups/join/action
    • Microsoft.Network/networkSecurityGroups/read
    • Microsoft.Network/networkSecurityGroups/write
    • Microsoft.Network/networkSecurityGroups/delete
    • Microsoft.Network/publicIPAddresses/delete
    • Microsoft.Network/publicIPAddresses/join/action
    • Microsoft.Network/publicIPAddresses/read
    • Microsoft.Network/publicIPAddresses/write
    • Microsoft.Network/virtualNetworks/read
    • Microsoft.Network/virtualNetworks/subnets/delete
    • Microsoft.Network/virtualNetworks/subnets/join/action
    • Microsoft.Network/virtualNetworks/subnets/read
    • Microsoft.Network/virtualNetworks/subnets/write
    • Microsoft.Network/virtualNetworks/write
    Microsoft Resources
    • Microsoft.Resources/subscriptions/resourcegroups/delete
    • Microsoft.Resources/subscriptions/resourcegroups/read
    • Microsoft.Resources/subscriptions/resourcegroups/write
    Microsoft Storage
    • Microsoft.Storage/storageAccounts/delete
    • Microsoft.Storage/storageAccounts/read
    • Microsoft.Storage/storageAccounts/write

    • Por lo general, Microsoft.Storage/storageAccounts/listKeys/action no es necesaria, pero puede que los usuarios la necesiten para ver las cuentas de almacenamiento.

    Microsoft Web
    • Microsoft.Web/sites/read
    • Microsoft.Web/sites/write
    • Microsoft.Web/sites/delete
    • Microsoft.Web/sites/config/read
    • Microsoft.Web/sites/config/write
    • Microsoft.Web/sites/config/list/action
    • Microsoft.Web/sites/publishxml/action
    • Microsoft.Web/serverfarms/write
    • Microsoft.Web/serverfarms/delete
    • Microsoft.Web/sites/hostruntime/functions/keys/read
    • Microsoft.Web/sites/hostruntime/host/read
    • Microsoft.web/sites/functions/masterkey/read
  • Configuración de la extensibilidad basada en acciones
    Si utiliza Microsoft Azure con extensibilidad basada en acciones, se requieren los siguientes permisos (además de los permisos mínimos).
    Ajuste Selección
    Microsoft Web
    • Microsoft.Web/sites/read
    • Microsoft.Web/sites/write
    • Microsoft.Web/sites/delete
    • Microsoft.Web/sites/*/action
    • Microsoft.Web/sites/config/read
    • Microsoft.Web/sites/config/write
    • Microsoft.Web/sites/config/list/action
    • Microsoft.Web/sites/publishxml/action
    • Microsoft.Web/serverfarms/write
    • Microsoft.Web/serverfarms/delete
    • Microsoft.Web/sites/hostruntime/functions/keys/read
    • Microsoft.Web/sites/hostruntime/host/read
    • Microsoft.Web/sites/functions/masterkey/read
    • Microsoft.Web/apimanagementaccounts/apis/read
    Autorización de Microsoft
    • Microsoft.Authorization/roleAssignments/read
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    Microsoft Insights
    • Microsoft.Insights/Components/Read
    • Microsoft.Insights/Components/Write
    • Microsoft.Insights/Components/Query/Read
  • Configuración de la extensibilidad basada en acciones con extensiones
    Si utiliza Microsoft Azure con la extensibilidad basada en acciones con extensiones, también se requieren los siguientes permisos.
    Ajuste Selección
    Microsoft.Compute
    • Microsoft.Compute/virtualMachines/extensions/write
    • Microsoft.Compute/virtualMachines/extensions/read
    • Microsoft.Compute/virtualMachines/extensions/delete

Para obtener información relacionada sobre la creación de una cuenta de nube de Microsoft Azure, consulte Configurar Microsoft Azure.

Credenciales de la cuenta de nube Google Cloud Platform (GCP)

En esta sección, se describen las credenciales requeridas para agregar una cuenta de nube de Google Cloud Platform.

La cuenta de nube de Google Cloud Platform interactúa con el motor de proceso de Google Cloud Platform.

Se requieren las credenciales de propietario y administrador del proyecto para crear y validar cuentas de nube de Google Cloud Platform.

Si utiliza un proxy de Internet HTTP externo, debe configurarlo para IPv4.

El servicio del motor de proceso debe estar habilitado. Al crear la cuenta de nube en VMware Aria Automation, utilice la cuenta de servicio que se creó al inicializar el motor de proceso.

También se requieren los siguientes permisos de motor de proceso, en función de las acciones que el usuario puede realizar.
Ajuste Selección

roles/compute.admin

Proporciona un control total sobre todos los recursos del motor de proceso.

roles/iam.serviceAccountUse

Proporciona acceso a los usuarios que administran instancias de máquinas virtuales configuradas para ejecutarse como una cuenta de servicio. Concede acceso a los siguientes recursos y servicios:

  • compute.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

roles/compute.imageUser

Proporciona permiso para enumerar y leer imágenes sin tener otros permisos sobre la imagen. La concesión de la función compute.imageUser en el nivel de proyecto ofrece a los usuarios la posibilidad de enumerar todas las imágenes del proyecto. También permite que los usuarios creen recursos, como instancias y discos persistentes, en función de las imágenes del proyecto.

  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.list
  • compute.images.useReadOnly
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

roles/compute.instanceAdmin

Proporciona permisos para crear, modificar y eliminar instancias de máquinas virtuales. Esto incluye los permisos para crear, modificar y eliminar discos, así como para configurar opciones de VMBETA blindadas.

Para los usuarios que administran instancias de máquinas virtuales (pero no opciones de red o de seguridad ni instancias que se ejecutan como cuentas de servicio), conceda esta función a la organización, a la carpeta o al proyecto que contengan las instancias, o a las instancias individuales.

Los usuarios que administran instancias de máquinas virtuales configuradas para ejecutarse como una cuenta de servicio también necesitan la función roles/iam.serviceAccountUser.

  • compute.acceleratorTypes
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.use
  • compute.autoscalers
  • compute.diskTypes
  • compute.disks.create
  • compute.disks.createSnapshot
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.list
  • compute.disks.resize
  • compute.disks.setLabels
  • compute.disks.update
  • compute.disks.use
  • compute.disks.useReadOnly
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalAddresses.use
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.list
  • compute.images.useReadOnly
  • compute.instanceGroupManagers
  • compute.instanceGroups
  • compute.instanceTemplates
  • compute.instances
  • compute.licenses.get
  • compute.licenses.list
  • compute.machineTypes
  • compute.networkEndpointGroups
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions
  • compute.reservations.get
  • compute.reservations.list
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

roles/compute.instanceAdmin.v1

Proporciona un control total sobre las instancias del motor de proceso, los grupos de instancias, los discos, las instantáneas y las imágenes. También proporciona acceso de lectura a todos los recursos de redes del motor de proceso.
Nota: Si concede esta función a un usuario en el nivel de instancia, ese usuario no podrá crear instancias nuevas.
  • compute.acceleratorTypes
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.use
  • compute.autoscalers
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.diskTypes
  • compute.disks
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalAddresses.use
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images
  • compute.instanceGroupManagers
  • compute.instanceGroups
  • compute.instanceTemplates
  • compute.instances
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes
  • compute.licenses
  • compute.machineTypes
  • compute.networkEndpointGroups
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.projects.setCommonInstanceMetadata
  • compute.regionBackendServices.get
  • compute.regionBackendServices.list
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.snapshots
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Credenciales de cuenta de nube de NSX-T

En esta sección se describen las credenciales requeridas para agregar una cuenta de nube de NSX-T.

A partir de NSX-T Data Center 3.1, se admiten funciones personalizadas.

Proporcione una cuenta con los siguientes privilegios de lectura y escritura.
  • Dirección IP o FQDN de NSX-T
  • NSX-T Data Center: función de administrador empresarial y credenciales de acceso

Se requiere la función de auditor.

Habilite los siguientes privilegios mínimos en función de los requisitos y las funciones.
Categoría/Subcategoría Permiso
Redes - Puertas de enlace de nivel 0 Solo lectura
Redes - Puertas de enlace de nivel 0 -> OSPF Ninguna
Redes - Puertas de enlace de nivel 1 Acceso completo
Redes - Segmentos Acceso completo
Redes - VPN Ninguna
Redes - NAT Acceso completo
Redes - Equilibrio de carga Acceso completo
Redes - Directiva de reenvío Ninguna
Redes - Estadísticas Ninguna
Redes - DNS Ninguna
Redes - DHCP Acceso completo
Redes - Grupos de direcciones IP Ninguna
Redes - Perfiles de red Solo lectura
Seguridad - Detección y respuesta a amenazas Ninguna
Seguridad - Firewall distribuido Acceso completo
Seguridad - IDS/IPS y Prevención de malware Ninguna
Seguridad - Inspección de TLS Ninguna
Seguridad - Firewall de identidad Ninguna
Seguridad - Firewall de puerta de enlace Ninguna
Seguridad - Administración de cadena de servicios Ninguna
Seguridad - Ventana de tiempo de firewall Ninguna
Seguridad - Perfiles Ninguna
Seguridad - Perfiles de servicio Ninguna
Seguridad - Configuración de firewall Acceso completo
Seguridad - Configuración de seguridad de puerta de enlace Ninguna
Inventario Acceso completo
Solución de problemas Ninguna
Sistema Ninguna

Los administradores también necesitan acceso a la instancia de vCenter, como se describe en la sección Credenciales de cuenta de nube de vCenter de este tema.

Credenciales de cuenta de nube de NSX-V

En esta sección se describen las credenciales requeridas para agregar una cuenta de nube de NSX-V.

Proporcionar una cuenta con los siguientes privilegios de lectura y escritura:
  • Función de administrador empresarial de NSX-V y credenciales de acceso
  • Dirección IP o FQDN de NSX-V

Los administradores también necesitan acceso a vCenter como se describe en la sección Agregar una cuenta de nube de vCenter de esta tabla.

Credenciales de cuenta de nube de VMware Cloud on AWS (VMC on AWS)

En esta sección, se describen las credenciales necesarias para agregar una cuenta de nube de VMware Cloud on AWS (VMC on AWS).

Proporcionar una cuenta con los siguientes privilegios de lectura y escritura:
  • La cuenta [email protected] o cualquier cuenta de usuario en el grupo CloudAdmin
  • Función de administrador empresarial de NSX y credenciales de acceso
  • Acceso de administrador de nube de NSX al entorno de SDDC de VMware Cloud on AWS de la organización
  • Acceso de administrador al entorno de SDDC de VMware Cloud on AWS de la organización
  • Token de API de VMware Cloud on AWS del entorno de VMware Cloud on AWS en el servicio VMware Cloud on AWS de la organización
  • Dirección IP o FQDN de vCenter

Los administradores también requieren acceso a vCenter como se describe en la sección Agregar una cuenta de nube de vCenter de esta tabla.

Para obtener más información sobre los permisos necesarios para crear y usar cuentas de nube de VMware Cloud on AWS, consulte Administrar el centro de datos de VMware Cloud on AWS en la documentación del producto de VMware Cloud on AWS.

Credenciales de la cuenta de nube de VMware Cloud Director (vCD)

En esta sección, se describen las credenciales requeridas para agregar una cuenta de nube de VMware Cloud Director (vCD).

Para crear una cuenta de nube de VMware Cloud Director en VMware Aria Automation, es necesario proporcionar las credenciales de cuenta de un usuario de VMware Cloud Director con la función de Administrador de organización. Específicamente, se necesita el siguiente subconjunto de credenciales de la función de Administrador de organización (disponible en VMware Cloud Director) para crear y validar cuentas de nube de VMware Cloud Director en VMware Aria Automation:
Ajuste Selección
Acceder a todos los vDC de organización Todos
Catálogo
  • Agregar vApp desde mi nube
  • Ver catálogos privados y compartidos
  • Ver catálogos publicados
General
  • Control de administrador
  • Vista de administrador
Entrada de archivo de metadatos Crear/modificar
Red de organización
  • Editar propiedades
  • Ver
Puerta de enlace de vDC de organización
  • Ver
  • Editar propiedades
  • Ver propiedades
vDC de organización
  • Ver
  • Ver reserva de memoria y CPU
Organización
  • Editar propiedades
  • Ver
Capacidades de las directivas de cuota Ver
Plantilla de vDC
  • Crear instancias
  • Ver
Medio/plantilla de vApp
  • Copiar
  • Crear/cargar
  • Editar
  • Ver
  • VAPP_VM_METADATA_TO_VCENTER
Plantilla de vApp
  • Cambiar propietario
  • Retirar
  • Descargar
vApp
  • Cambiar propietario
  • Copiar
  • Crear/reconfigurar
  • Eliminar
  • Descargar
  • Editar propiedades
  • Editar CPU de máquina virtual
  • Editar configuración de reserva de memoria y CPU de máquina virtual en todos los tipos de vDC
  • Editar disco duro de máquina virtual
  • Editar memoria de máquina virtual
  • Editar red de máquina virtual
  • Editar propiedades de máquina virtual
  • Administrar configuración de contraseñas de máquina virtual
  • Operaciones de alimentación
  • Uso compartido
  • Operaciones de instantáneas
  • Cargar
  • Usar consola
  • Opciones de arranque de máquina virtual
  • Ver ACL
  • Ver métricas de máquina virtual
Grupo de vDC
  • Configurar
  • Configurar registro
  • Ver
No se admite la creación y el uso de una cuenta de nube de VMware Cloud Director en VMware Aria Automation si VMware Aria Automation tiene FIPS habilitado.

Credenciales de integración de VMware Aria Operations

En esta sección se describen las credenciales requeridas para la integración con VMware Aria Operations. Tenga en cuenta que estas credenciales se establecen y configuran en VMware Aria Operations, no en VMware Aria Automation.

Proporcione una cuenta de inicio de sesión local o no local para VMware Aria Operations con los siguientes privilegios de lectura.

  • Instancia de adaptador Adaptador de vCenter > Instancia de adaptador de VC para vCenter-FQDN

Es posible que primero se deba importar la cuenta no local para poder asignar su función de solo lectura.

Integración de NSX con Microsoft Azure VMware Solution (AVS) para VMware Aria Automation

Para obtener información sobre la conexión de NSX ejecutándose en Microsoft Azure VMware Solution (AVS) para VMware Aria Automation, incluida la configuración de funciones personalizadas, consulte los permisos de usuario CloudAdmin de NSX-T Data Center en la documentación de producto de Microsoft.