Para implementar y administrar NSX, se necesitan algunos permisos de vCenter. NSX ofrece permisos amplios de lectura, así como de lectura y escritura para varios usuarios y varias funciones.

Definición de funciones

Las funciones disponibles son los siguientes:

roles = system_write, system_urm, super_user, vshield_admin, security_admin, auditor, dlp_svm, epsec_host, enterprise_admin, component_manager_user y replicator

local_user_roles = system_write, system_urm, super_user, security_admin, auditor, dlp_svm, epsec_host, component_manager_user y replicator

system_roles = system_write, system_urm, dlp_svm, epsec_host y replicator

Tipos de permisos

Los tipos de permisos son de lectura y de escritura.

Definición de acceso de funciones

Las definiciones de acceso de funciones determinan si una función tiene permiso de lectura o de lectura y escritura.

super_user.object_permission = lectura y escritura

vshield_admin.object_permission = lectura y escritura

security_admin.object_permission = lectura y escritura

auditor.object_permission = lectura

system_write.object_permission = lectura y escritura

system_urm.object_permission = lectura

dlp_svm.object_permission = lectura y escritura

epsec_host.object_permission = lectura y escritura

enterprise_admin.object_permission = lectura y escritura

replicator.object_permission = lectura y escritura

Definición de raíz

La definición de raíz describe las funciones del superusuario.

super_user.superuser = true

system_write.superuser = true

Acceso de funciones a objetos para el ámbito global

vshield_admin.object_access_scope.global = true

super_user.object_access_scope.global = true

system_write.object_access_scope.global = true

system_urm.object_access_scope.global = true

dlp_svm.object_access_scope.global = true

epsec_host.object_access_scope.global = true

enterprise_admin.object_access_scope.global = true

Acceso de funciones a objetos para el ámbito universal

Replicator.object_access_scope.universal = true

System_write.object_access_scope.universal = true

Servicios

Los siguientes servicios están disponibles en NSX:

administration, urm, edge, app, namespace, spoofguard, dlp, epsec, library, install, vdn, eam, si, truststore, component_manager, ipam, secfabric, security_policy, messaging y replicator

Definiciones de funciones

Las definiciones de funciones de cada servicio son las siguientes:

administration.featurelist = administration.configuration, administration.update, administration.system_events, administration.audit_logs y administration.debug

urm.featurelist = urm.user_account_management, urm.object_access_control y urm.feature_access_control

edge.featurelist = edge.system, edge.nat, edge.firewall, edge.dhcp, edge.loadbalancer, edge.vpn, edge.syslog, edge.support, edge.routing, edge.certificate, edge.appliance, edge.highavailability, edge.dns, edge.vnic, edge.ssh, edge.autoplumbing, edge.statistics, edge.bridging y edge.systemcontrol

app.featurelist = app.config, app.firewall, app.flow, app.forcesync, app.syslog y app.techsupport

pgi.featurelist = pgi.switch, pgi.portgroup y pgi.lkm

namespace.featurelist = namespace.config

spoofguard.featurelist = spoofguard.config

dlp.featurelist = dlp.scan_scheduling, dlp.reports, dlp.policy y dlp.svm_interaction

epsec.featurelist = epsec.registration, epsec.health_monitoring, epsec.manager, epsec.policy, epsec.svm_priv, epsec.scan y epsec.reports

library.featurelist = library.grouping, library.host_preparation y library.tagging

install.featurelist = install.app, install.epsec y install.dlp

vdn.featurelist = vdn.config_nsm y vdn.provision

eam.featurelist = eam.install

si.featurelist = si.service y si.serviceprofile

truststore.featurelist = truststore.trustentity_management

component_manager.featurelist = healthstatus

ipam.featurelist = ipam.configuration y ipam.ipallocation

secfabric.featurelist = secfabric.deploy y secfabric.alarms

security_policy.featurelist = security_policy.configuration y security_policy.security_group_binding

blueprint_sam.featurelist = blueprint_sam.reports, blueprint_sam.ad_config, blueprint_sam.control_data_collection, blueprint_sam.techsupport y blueprint_sam.db_maintain

messaging.featurelist = messaging.messaging

replicator.featurelist = replicator.configuration

Definiciones de acceso de funciones

Para cada combinación de características y funciones, la definición de acceso de características denota si el usuario tiene permisos de solo lectura o de lectura y escritura.

Si no aparece una combinación de funciones y características, significa que el usuario que tiene dicha función no tiene acceso a esta característica.

Por ejemplo:

auditor.app.firewall = lectura

security_admin.app.firewall = lectura y escritura

Esto significa que la función del auditor de la característica app.firewall tiene acceso de solo lectura, mientras que la función security_admin de la característica app.firewall tiene acceso de lectura y escritura.

Definiciones de acceso de funciones - system_urm

system_urm.urm.user_account_management = lectura

Definiciones de acceso de funciones - vshield_admin

vshield_admin.administration.configuration = lectura y escritura

vshield_admin.administration.update = lectura y escritura

vshield_admin.administration.system_events = lectura y escritura

vshield_admin.administration.audit_logs = lectura

vshield_admin.urm.user_account_management = lectura y escritura

vshield_admin.urm.object_access_control = lectura

vshield_admin.urm.feature_access_control = lectura

vshield_admin.edge.system = lectura y escritura

vshield_admin.edge.appliance = lectura y escritura

vshield_admin.edge.highavailability = lectura y escritura

vshield_admin.edge.vnic = lectura y escritura

vshield_admin.edge.dns = lectura

vshield_admin.edge.ssh = lectura y escritura

vshield_admin.edge.autoplumbing = lectura

vshield_admin.edge.statistics = lectura

vshield_admin.edge.nat = lectura

vshield_admin.edge.dhcp = lectura

vshield_admin.edge.loadbalancer = lectura

vshield_admin.edge.vpn = lectura

vshield_admin.edge.syslog = lectura y escritura

vshield_admin.edge.support = lectura y escritura

vshield_admin.edge.routing = lectura

vshield_admin.edge.firewall = lectura

vshield_admin.edge.bridging = lectura

vshield_admin.edge.certificate = lectura

vshield_admin.edge.systemcontrol = lectura y escritura

vshield_admin.library.grouping = lectura

vshield_admin.app.config = lectura y escritura

vshield_admin.app.forcesync = lectura y escritura

vshield_admin.app.syslog = lectura y escritura

vshield_admin.app.techsupport = lectura y escritura

vshield_admin.namespace.config = lectura y escritura

vshield_admin.dlp.scan_scheduling = lectura y escritura

vshield_admin.epsec.reports = lectura y escritura

vshield_admin.epsec.registration = lectura y escritura

vshield_admin.epsec.health_monitoring = lectura

vshield_admin.epsec.policy = lectura y escritura

vshield_admin.epsec.scan_scheduling = lectura y escritura

vshield_admin.library.host_preparation = lectura y escritura

vshield_admin.library.tagging = lectura

vshield_admin.install.app = lectura y escritura

vshield_admin.install.epsec = lectura y escritura

vshield_admin.install.dlp = lectura y escritura

vshield_admin.vdn.config_nsm = lectura y escritura

vshield_admin.vdn.provision = lectura y escritura

vshield_admin.eam.install = lectura y escritura

vshield_admin.si.service = lectura y escritura

vshield_admin.si.serviceprofile = lectura y escritura

vshield_admin.truststore.trustentity_management = lectura y escritura

vshield_admin.ipam.configuration = lectura y escritura

vshield_admin.ipam.ipallocation = lectura y escritura

vshield_admin.secfabric.deploy = lectura y escritura

vshield_admin.secfabric.alarms = lectura y escritura

vshield_admin.blueprint_sam.ad_config = lectura y escritura

vshield_admin.blueprint_sam.control_data_collection = lectura y escritura

vshield_admin.blueprint_sam.techsupport = lectura y escritura

vshield_admin.blueprint_sam.db_maintain = lectura y escritura

vshield_admin.messaging.messaging = lectura y escritura

vshield_admin.replicator.configuration = lectura y escritura

Definiciones de acceso de funciones - security_admin

security_admin.administration.system_events = lectura y escritura

security_admin.administration.audit_logs = lectura

security_admin.edge.system = lectura

security_admin.edge.appliance = lectura

security_admin.edge.highavailability = lectura

security_admin.edge.vnic = lectura y escritura

security_admin.edge.dns = lectura y escritura

security_admin.edge.ssh = lectura y escritura

security_admin.edge.autoplumbing = lectura y escritura

security_admin.edge.statistics = lectura

security_admin.edge.nat = lectura y escritura

security_admin.edge.dhcp = lectura y escritura

security_admin.edge.loadbalancer = lectura y escritura

security_admin.edge.vpn = lectura y escritura

security_admin.edge.syslog = lectura y escritura

security_admin.edge.support = lectura y escritura

security_admin.edge.routing = lectura y escritura

security_admin.edge.firewall = lectura y escritura

security_admin.edge.bridging = lectura y escritura

security_admin.edge.certificate = lectura y escritura

security_admin.edge.systemcontrol = lectura y escritura

security_admin.app.firewall = lectura y escritura

security_admin.app.flow = lectura y escritura

security_admin.app.forcesync = lectura

security_admin.app.syslog = lectura

security_admin.namespace.config = lectura

security_admin.spoofguard.config = lectura y escritura

security_admin.dlp.reports = lectura y escritura

security_admin.dlp.policy = lectura y escritura

security_admin.epsec.policy = lectura y escritura

security_admin.epsec.reports = lectura

security_admin.epsec.health_monitoring = lectura

security_admin.library.grouping = lectura y escritura

security_admin.library.tagging = lectura y escritura

security_admin.install.app = lectura

security_admin.install.epsec = lectura

security_admin.install.dlp = lectura

security_admin.vdn.config_nsm = lectura

security_admin.vdn.provision = lectura

security_admin.eam.install = lectura

security_admin.si.service = lectura y escritura

security_admin.si.serviceprofile = lectura

security_admin.truststore.trustentity_management = lectura y escritura

security_admin.ipam.configuration = lectura y escritura

security_admin.ipam.ipallocation = lectura y escritura

security_admin.secfabric.alarms = lectura

security_admin.secfabric.deploy = lectura

security_admin.security_policy.configuration = lectura y escritura

security_admin.security_policy.security_group_binding = lectura y escritura

security_admin.blueprint_sam.reports = lectura

security_admin.blueprint_sam.ad_config = lectura

security_admin.blueprint_sam.control_data_collection = lectura

security_admin.blueprint_sam.db_maintain = lectura

security_admin.messaging.messaging = lectura y escritura

security_admin.replicator.configuration = lectura

Definiciones de acceso de funciones- auditor

auditor.administration.system_events = lectura

auditor.administration.audit_logs = lectura

auditor.edge.appliance = lectura

auditor.edge.highavailability = lectura

auditor.edge.vnic = lectura

auditor.edge.dns = lectura

auditor.edge.ssh = lectura

auditor.edge.autoplumbing = lectura

auditor.edge.statistics = lectura

auditor.edge.nat = lectura

auditor.edge.dhcp = lectura

auditor.edge.loadbalancer = lectura

auditor.edge.vpn = lectura

auditor.edge.syslog = lectura

auditor.edge.routing = lectura

auditor.edge.firewall = lectura

auditor.edge.bridging = lectura

auditor.edge.system = lectura

auditor.edge.certificate = lectura

auditor.edge.systemcontrol = lectura

auditor.app.firewall = lectura

auditor.app.flow = lectura

auditor.app.forcesync = lectura

auditor.app.syslog = lectura

auditor.namespace.config = lectura

auditor.spoofguard.config = lectura

auditor.dlp.scan_scheduling = lectura

auditor.dlp.policy = lectura

auditor.dlp.reports = lectura

auditor.library.grouping = lectura

auditor.epsec_host.health_monitoring = lectura

auditor.epsec.policy = lectura

auditor.epsec.reports = lectura

auditor.epsec.registration = lectura

auditor.vdn.config_nsm = lectura

auditor.epsec.scan_scheduling = lectura

auditor.vdn.provision = lectura

auditor.si.service = lectura

auditor.si.serviceprofile = lectura

auditor.truststore.trustentity_management = lectura

auditor.secfabric.alarms = lectura

auditor.secfabric.deploy = lectura

auditor.security_policy.configuration = lectura

auditor.security_policy.security_group_binding = lectura

auditor.blueprint_sam.reports = lectura

auditor.blueprint_sam.ad_config = lectura

auditor.blueprint_sam.control_data_collection = lectura

auditor.blueprint_sam.db_maintain = lectura

auditor.library.tagging = lectura

auditor.ipam.configuration = lectura

auditor.ipam.ipallocation = lectura

auditor.messaging.messaging = lectura

auditor.replicator.configuration = lectura

Definiciones de acceso de funciones - dlp_svm

dlp_svm.dlp.svm_interaction = lectura y escritura

dlp_svm.epsec.svm_priv = lectura y escritura

dlp_svm.epsec.registration = lectura

dlp_svm.epsec.policy = lectura

dlp_svm.epsec.scan_scheduling = lectura

dlp_svm.library.host_preparation = lectura y escritura

dlp_svm.library.tagging = lectura y escritura

Definiciones de acceso de funciones - epsec_host

epsec_host.epsec.registration = lectura

epsec_host.epsec.health_monitoring = escritura

Definiciones de acceso de funciones - enterprise_admin

enterprise_admin.administration.configuration = lectura y escritura

enterprise_admin.administration.update = lectura y escritura

enterprise_admin.administration.system_events = lectura y escritura

enterprise_admin.administration.audit_logs = lectura

enterprise_admin.urm.user_account_management = lectura y escritura

enterprise_admin.urm.object_access_control = lectura

enterprise_admin.urm.feature_access_control = lectura

enterprise_admin.edge.system = lectura y escritura

enterprise_admin.edge.appliance = lectura y escritura

enterprise_admin.edge.highavailability = lectura y escritura

enterprise_admin.edge.vnic = lectura y escritura

enterprise_admin.edge.dns = lectura y escritura

enterprise_admin.edge.ssh = lectura y escritura

enterprise_admin.edge.autoplumbing = lectura y escritura

enterprise_admin.edge.statistics = lectura y escritura

enterprise_admin.edge.nat = lectura y escritura

enterprise_admin.edge.dhcp = lectura y escritura

enterprise_admin.edge.loadbalancer = lectura y escritura

enterprise_admin.edge.vpn = lectura y escritura

enterprise_admin.edge.syslog = lectura y escritura

enterprise_admin.edge.support = lectura y escritura

enterprise_admin.edge.routing = lectura y escritura

enterprise_admin.edge.firewall = lectura y escritura

enterprise_admin.edge.bridging = lectura y escritura

enterprise_admin.edge.certificate = lectura y escritura

enterprise_admin.edge.systemcontrol = lectura y escritura

enterprise_admin.library.grouping = lectura y escritura

enterprise_admin.library.host_preparation = lectura y escritura

enterprise_admin.library.tagging = lectura y escritura

enterprise_admin.app.config = lectura y escritura

enterprise_admin.app.forcesync = lectura y escritura

enterprise_admin.app.syslog = lectura y escritura

enterprise_admin.app.techsupport = lectura y escritura

enterprise_admin.app.firewall = lectura y escritura

enterprise_admin.app.flow = lectura y escritura

enterprise_admin.namespace.config = lectura y escritura

enterprise_admin.dlp.scan_scheduling = lectura y escritura

enterprise_admin.dlp.reports = lectura y escritura

enterprise_admin.dlp.policy = lectura y escritura

enterprise_admin.epsec.registration = lectura y escritura

enterprise_admin.epsec.health_monitoring = lectura

enterprise_admin.epsec.scan_scheduling = lectura y escritura

enterprise_admin.epsec.reports = lectura y escritura

enterprise_admin.epsec.policy = lectura y escritura

enterprise_admin.install.app = lectura y escritura

enterprise_admin.install.epsec = lectura y escritura

enterprise_admin.install.dlp = lectura y escritura

enterprise_admin.eam.install = lectura y escritura

enterprise_admin.spoofguard.config = lectura y escritura

enterprise_admin.vdn.config_nsm = lectura y escritura

enterprise_admin.vdn.provision = lectura y escritura

enterprise_admin.si.service = lectura y escritura

enterprise_admin.si.serviceprofile = lectura y escritura

enterprise_admin.truststore.trustentity_management = lectura y escritura

enterprise_admin.ipam.configuration = lectura y escritura

enterprise_admin.ipam.ipallocation = lectura y escritura

enterprise_admin.secfabric.deploy = lectura y escritura

enterprise_admin.secfabric.alarms = lectura y escritura

enterprise_admin.security_policy.configuration = lectura y escritura

enterprise_admin.security_policy.security_group_binding = lectura y escritura

enterprise_admin.blueprint_sam.reports = lectura

enterprise_admin.blueprint_sam.ad_config = lectura y escritura

enterprise_admin.blueprint_sam.control_data_collection = lectura y escritura

enterprise_admin.blueprint_sam.techsupport = lectura y escritura

enterprise_admin.blueprint_sam.db_maintain = lectura y escritura

enterprise_admin.messaging.messaging = lectura y escritura

enterprise_admin.replicator.configuration = lectura y escritura

Definiciones de acceso de funciones - component_manager_user

component_manager_user.component_manager.healthstatus = lectura

Definiciones de acceso de funciones - replicator

replicator.administration.configuration = lectura y escritura

replicator.administration.update = lectura y escritura

replicator.administration.system_events = lectura y escritura

replicator.administration.audit_logs = lectura

replicator.urm.user_account_management = lectura y escritura

replicator.urm.object_access_control = lectura

replicator.urm.feature_access_control = lectura

replicator.edge.system = lectura y escritura

replicator.edge.appliance = lectura y escritura

replicator.edge.highavailability = lectura

replicator.edge.vnic = lectura y escritura

replicator.edge.dns = lectura

replicator.edge.ssh = lectura

replicator.edge.autoplumbing = lectura y escritura

replicator.edge.statistics = lectura

replicator.edge.nat = lectura

replicator.edge.dhcp = lectura y escritura

replicator.edge.loadbalancer = lectura

replicator.edge.vpn = lectura

replicator.edge.syslog = lectura

replicator.edge.support = lectura

replicator.edge.routing = lectura y escritura

replicator.edge.firewall = lectura

replicator.edge.bridging = lectura

replicator.edge.certificate = lectura

replicator.edge.systemcontrol = lectura

replicator.library.grouping = lectura y escritura

replicator.library.host_preparation = lectura y escritura

replicator.library.tagging = lectura y escritura

replicator.app.config = lectura y escritura

replicator.app.forcesync = lectura y escritura

replicator.app.syslog = lectura y escritura

replicator.app.techsupport = lectura y escritura

replicator.app.firewall = lectura y escritura

replicator.app.flow = lectura y escritura

replicator.namespace.config = lectura y escritura

replicator.dlp.scan_scheduling = lectura y escritura

replicator.dlp.reports = lectura y escritura

replicator.dlp.policy = lectura y escritura

replicator.epsec.registration = lectura y escritura

replicator.epsec.health_monitoring = lectura

replicator.epsec.scan_scheduling = lectura y escritura

replicator.epsec.reports = lectura y escritura

replicator.epsec.policy = lectura y escritura

replicator.install.app = lectura y escritura

replicator.install.epsec = lectura y escritura

replicator.install.dlp = lectura y escritura

replicator.eam.install = lectura y escritura

replicator.spoofguard.config = lectura y escritura

replicator.vdn.config_nsm = lectura y escritura

replicator.vdn.provision = lectura y escritura

replicator.si.service = lectura y escritura

replicator.si.serviceprofile = lectura y escritura

replicator.truststore.trustentity_management = lectura y escritura

replicator.ipam.configuration = lectura y escritura

replicator.ipam.ipallocation = lectura y escritura

replicator.secfabric.deploy = lectura y escritura

replicator.secfabric.alarms = lectura y escritura

replicator.security_policy.configuration = lectura y escritura

replicator.security_policy.security_group_binding = lectura y escritura

replicator.blueprint_sam.reports = lectura

replicator.blueprint_sam.ad_config = lectura y escritura

replicator.blueprint_sam.control_data_collection = lectura y escritura

replicator.blueprint_sam.techsupport = lectura y escritura

replicator.blueprint_sam.db_maintain = lectura y escritura

replicator.messaging.messaging = lectura y escritura

replicator.replicator.configuration = lectura y escritura

Sobrescribir permisos de características de funciones en el nodo secundario de objetos universales

secondary.super_user.edge.highavailability = lectura y escritura

secondary.enterprise_admin.edge.highavailability = lectura y escritura

secondary.vshield_admin.edge.highavailability = lectura y escritura

secondary.super_user.edge.ssh = lectura y escritura

secondary.enterprise_admin.edge.ssh = lectura y escritura

secondary.security_admin.edge.ssh = lectura y escritura

secondary.vshield_admin.edge.ssh = lectura y escritura

secondary.super_user.edge.syslog = lectura y escritura

secondary.enterprise_admin.edge.syslog = lectura y escritura

secondary.security_admin.edge.syslog = lectura y escritura

secondary.vshield_admin.edge.syslog = lectura y escritura

secondary.super_user.edge.support = lectura y escritura

secondary.enterprise_admin.edge.support = lectura y escritura

secondary.security_admin.edge.support = lectura y escritura

secondary.vshield_admin.edge.support = lectura y escritura

secondary.super_user.edge.routing = lectura y escritura

secondary.security_admin.edge.routing = lectura y escritura

secondary.enterprise_admin.edge.routing = lectura y escritura

secondary.super_user.edge.appliance = lectura y escritura

secondary.vshield_admin.edge.appliance = lectura y escritura

secondary.enterprise_admin.edge.appliance = lectura y escritura

secondary.super_user.edge.vnic = lectura y escritura

secondary.vshield_admin.edge.vnic = lectura y escritura

secondary.enterprise_admin.edge.vnic = lectura y escritura

secondary.super_user.edge.firewall = lectura y escritura

secondary.vshield_admin.edge.firewall = lectura y escritura

secondary.enterprise_admin.edge.firewall = lectura y escritura