Usar funciones de vCenter Server para asignar privilegios

En vCenter Server, una función es un conjunto predefinido de privilegios que define los derechos para llevar a cabo acciones y propiedades de lectura. Para crear permisos, asigne una función a un usuario o grupo para un objeto. vCenter Server proporciona funciones del sistema y funciones de muestra de forma predeterminada. También puede crear funciones personalizadas.

Asignar permisos en vCenter Server

Al asignar permisos en vCenter Server, se establece un par entre un usuario o grupo y una función, y se asocia ese par a un objeto del inventario. Por ejemplo, puede utilizar la función de muestra de usuario de máquinas virtuales para que los usuarios lean y cambien los atributos de la máquina virtual.

Un solo usuario o grupo puede tener diferentes funciones para distintos objetos del inventario. Por ejemplo, supongamos que tiene dos grupos de recursos en el inventario, el Grupo A y el Grupo B. Puede asignar al grupo Ventas la función de muestra de usuario de la máquina virtual para el Grupo A y la función de solo lectura para el Grupo B. Con estas asignaciones, los usuarios del grupo Ventas pueden encender las máquinas virtuales del Grupo A, pero solo pueden ver las máquinas virtuales del Grupo B.

Los usuarios pueden programar tareas únicamente si tienen una función que incluya privilegios para realizar esa tarea en el momento de crearla.

¿Cuáles son las funciones predefinidas de vCenter Server?

vCenter Server proporciona funciones predefinidas, como se muestra en la tabla siguiente.

Tabla 1. Funciones predefinidas de vCenter Server
Tipo de función	Nombres de función	Descripción
Sistema	Administrador, Solo lectura y Sin acceso.	Las funciones del sistema son permanentes. No puede eliminar las funciones del sistema ni editar los privilegios asociados con estas funciones. Las funciones del sistema se organizan como una jerarquía. Cada función hereda los privilegios de la función anterior. Por ejemplo, la función de administrador hereda los privilegios de la función de solo lectura. Consulte la siguiente sección para obtener más información sobre las funciones del sistema.
Ejemplo	vSphere proporciona una serie de funciones de muestra; por ejemplo, AutoUpdateUser, administrador de grupo de recursos y usuario de máquina virtual.	vSphere proporciona funciones de muestra para ciertas combinaciones de tareas frecuentes. Estas funciones se pueden clonar, modificar o quitar. Nota: Para evitar perder la configuración predefinida en una función de muestra, primero clone la función y, a continuación, realice las modificaciones en el clon. No se puede restablecer la muestra a su configuración predeterminada.

Para ver los privilegios asociados con una función, desplácese hasta esa función en vSphere Client (Menú > Administración > Funciones) y haga clic en la pestaña Privilegios.

Para ver todos los privilegios y las descripciones de vSphere, consulte Privilegios definidos.

Nota: Los cambios en las funciones y en los privilegios se aplican de inmediato, incluso si los usuarios involucrados iniciaron sesión. La excepción son las búsquedas, para las cuales los cambios se aplican una vez que el usuario cierra la sesión y vuelve a iniciarla.

Funciones del sistema vCenter Server

Las funciones del sistema no se pueden modificar ni eliminar.

Función de administrador: Los usuarios con la función de administrador para un objeto tienen permiso de ver el objeto y realizar todas las acciones posibles en él. Esta función también incluye todos los privilegios inherentes a la función de solo lectura. Si tiene la función de administrador en un objeto, puede asignar privilegios a grupos y usuarios individuales.; Si actúa con función de administrador en vCenter Server, puede asignar privilegios a los usuarios y grupos del origen de identidad predeterminado de vCenter Single Sign-On. Consulte la documentación de vSphere Authentication para obtener información sobre los servicios de identidad admitidos.; De forma predeterminada, el usuario [email protected] tiene la función de administrador tanto en vCenter Single Sign-On como en vCenter Server después de la instalación. Ese usuario puede asociar otros usuarios con la función de administrador en vCenter Server.
Sugerencia: La práctica recomendada es crear un usuario en el nivel raíz y asignar la función Administrador a ese usuario. Después de crear un usuario designado con privilegios de Administrador, puede quitar el usuario raíz de cualquiera de los permisos o cambiar la función a Sin acceso.
Función de solo lectura: Los usuarios con la función Solo lectura para un objeto tienen permiso de ver el estado y los detalles del objeto. Por ejemplo, los usuarios con esta función pueden ver atributos de máquinas virtuales, hosts y grupos de recursos, pero no pueden ver la consola remota para un host. Las acciones desde los menús y las barras de herramientas no están permitidas.
Función Sin acceso: Los usuarios con la función Sin acceso a un objeto no pueden ver ni cambiar ese objeto de ninguna manera. Los usuarios y grupos nuevos tienen asignada esta función de forma predeterminada. Es posible cambiar la función de un solo objeto a la vez.; El administrador del dominio de vCenter Single Sign-On, [email protected] de manera predeterminada, el usuario raíz y vpxuser tienen asignada la función Administrador de manera predeterminada. De manera predeterminada, se asigna la función Sin acceso a los otros usuarios.

Funciones personalizadas en vCenter Server y ESXi

Se pueden crear funciones personalizadas para vCenter Server y todos los objetos que administra, o bien para hosts individuales.

Funciones personalizadas de vCenter Server (recomendado): Si se desean crear funciones personalizadas, se pueden utilizar las opciones de edición de funciones en vSphere Client para crear conjuntos de privilegios que se adapten a los requisitos.
Funciones personalizadas de ESXi: Se pueden crear funciones personalizadas para hosts individuales mediante la utilización de una CLI o de VMware Host Client. Consulte la documentación de Administrar un host único de vSphere: VMware Host Client. No se puede acceder a las funciones de host personalizadas desde vCenter Server.; Si administra los hosts ESXi mediante vCenter Server, no mantenga las funciones personalizadas en el host y en vCenter Server. Defina las funciones en el nivel de vCenter Server.

Cuando se administra un host por medio de vCenter Server, los permisos asociados con ese host se crean desde vCenter Server y se almacenan en vCenter Server. Si se conecta directamente a un host, solo están disponibles las funciones que se crearon de forma directa en el host.

Nota: Cuando se agrega una función personalizada y no se le asignan privilegios, la función creada es de solo lectura con tres privilegios definidos por el sistema: Sistema.Anónimo, Sistema.Ver y Sistema.Leer. Estos privilegios no están visibles en vSphere Client, pero se utilizan para leer ciertas propiedades de algunos objetos administrados. Todas las funciones predefinidas en vCenter Server contienen estos tres privilegios definidos por el sistema. Consulte la documentación sobre vSphere Web Services API para obtener más información.

Crear una función personalizada de vCenter Server

Para adaptarse a las necesidades de control de acceso de su entorno, puede crear funciones personalizadas de vCenter Server. Puede crear una función o clonar una función existente.

Puede crear o editar una función en un sistema vCenter Server que forme parte del mismo dominio de vCenter Single Sign-On que los otros sistemas vCenter Server. VMware Directory Service (vmdir) propaga los cambios que se realicen en la función a todos los demás sistemas vCenter Server en el grupo. Las asignaciones de funciones a usuarios y objetos específicos no se comparten en los sistemas vCenter Server.

Requisitos previos

Compruebe que tenga privilegios de administrador en el sistema vCenter Server en el que cree la función.

Procedimiento

Inicie sesión en vCenter Server mediante vSphere Client.
Seleccione Administración y haga clic en Funciones en el área Control de acceso.

Cree la función.

Opción	Descripción
Para crear una función	Haga clic en Nueva. Escriba un nombre para la nueva función. Seleccione privilegios para la función o anule la selección de estos. Desplácese por las categorías de privilegios y seleccione todos los privilegios o un subconjunto de privilegios para esa categoría. Puede mostrar todas las categorías, seleccionadas o sin seleccionar. También puede mostrar todos los privilegios, seleccionados o sin seleccionar. Consulte Privilegios definidos para obtener más información. Haga clic en Crear.
Para crear la función mediante clonación	Seleccione una función y haga clic en Clonar. Introduzca un nombre para la función. Haga clic en Aceptar. Nota: Cuando se crea una función clonada, no se pueden cambiar los privilegios. Para cambiar los privilegios, seleccione la función clonada y haga clic en Editar.

Opción

Descripción

Para crear una función

Haga clic en Nueva.
Escriba un nombre para la nueva función.
Seleccione privilegios para la función o anule la selección de estos.
Desplácese por las categorías de privilegios y seleccione todos los privilegios o un subconjunto de privilegios para esa categoría. Puede mostrar todas las categorías, seleccionadas o sin seleccionar. También puede mostrar todos los privilegios, seleccionados o sin seleccionar. Consulte Privilegios definidos para obtener más información.
Haga clic en Crear.

Para crear la función mediante clonación

Seleccione una función y haga clic en Clonar.
Introduzca un nombre para la función.
Haga clic en Aceptar.

Nota: Cuando se crea una función clonada, no se pueden cambiar los privilegios. Para cambiar los privilegios, seleccione la función clonada y haga clic en Editar.

Qué hacer a continuación

Ahora puede crear permisos mediante la selección de un objeto y la asignación de la función a un usuario o un grupo para dicho objeto.