De forma predeterminada, un usuario con función de administrador de vCenter Server puede interactuar con archivos y programas dentro del sistema operativo invitado de una máquina virtual. Para reducir el riesgo de infracciones de confidencialidad, disponibilidad o integridad del invitado, cree una función de acceso que no sea de invitado sin el privilegio Operaciones de invitado.

Antes de empezar

Compruebe que tenga privilegios de Administrador en el sistema vCenter Server en el que crea la función.

Por qué y cuándo se efectúa esta tarea

Por motivos de seguridad, aplique las mismas restricciones en los permisos de acceso al centro de datos virtual que en el centro de datos físico. Para evitar otorgar a los usuarios acceso total de administrador, cree una función personalizada que deshabilite el acceso de invitado y aplíquelo a los usuarios que requieren privilegios de administrador, pero que no están autorizados a interactuar con archivos y programas dentro de un sistema operativo invitado.

Por ejemplo, la configuración puede incluir una máquina virtual en la infraestructura que tenga información confidencial. Las tareas como la migración con vMotion y Storage vMotion requieren que la función de TI tenga acceso a la máquina virtual. En este caso, deshabilite algunas operaciones remotas dentro del sistema operativo invitado para garantizar que la función de TI no tenga acceso a la información confidencial.

Procedimiento

  1. Inicie sesión en vSphere Web Client como un usuario con privilegios de Administrador en el sistema vCenter Server donde creará la función.
  2. Haga clic en Administración y seleccione Funciones.
  3. Haga clic en el icono Crear acción de función y escriba un nombre de la función.

    Por ejemplo, escriba Administrator No Guest Access.

  4. Seleccione Todos los privilegios.
  5. Anule la selección de Todos los privilegios > Máquina virtual > Operaciones de invitado para quitar el conjunto de privilegios Operaciones de invitado.
  6. Haga clic en Aceptar.

Qué hacer a continuación

Seleccione el sistema vCenter Server o el host, y asigne un permiso que se asocie con el usuario o el grupo que debe tener los nuevos privilegios con la función recién creado. Quite esos usuarios de la función de administrador predeterminado.