En vSphere, los privilegios son controles de acceso detallados que se pueden agrupar en funciones y asignarse a usuarios o grupos. El registrador de privilegios le ayuda a identificar el conjunto mínimo de privilegios necesarios para ejecutar un flujo de trabajo de vCenter Server.
Para ejecutar un conjunto específico de operaciones, es muy difícil determinar el conjunto mínimo de privilegios que requiere el usuario. Los privilegios no tienen una correspondencia de uno a uno con el flujo de trabajo específico, que generalmente consta de varias llamadas a diferentes API que funcionan en el objeto correspondiente. Como resultado, el usuario tiene más acceso o muy poco acceso al entorno. Con el objetivo de mantener protegido el entorno, la función de registrador de privilegios ayuda a identificar el conjunto mínimo de privilegios necesario para ejecutar un flujo de trabajo de vCenter Server. Permite supervisar y consultar los privilegios que se comprobaron al realizar una operación. El registrador de privilegios se implementa mediante un REST API.
Nota: Esta función está disponible como API y solo admite flujos de trabajo que se ejecutan mediante un script. No hay compatibilidad con la interfaz de usuario para el registrador de privilegios.
Una consulta a ListAPI permite recuperar listas de comprobaciones de privilegios junto con las sesiones, los usuarios, los objetos administrados y los identificadores de operación (opID) correspondientes. Puede utilizar los filtros adecuados para obtener privilegios para un flujo de trabajo en particular.
Por ejemplo, supongamos que el usuario A necesita crear una máquina virtual. La creación de una máquina virtual requiere un determinado conjunto de privilegios. El usuario A debe solicitar privilegios al administrador del sistema. El administrador del sistema puede habilitar el registrador de privilegios y ejecutar la operación de creación de la máquina virtual. Mientras se realiza la comprobación de privilegios, se almacenan los datos de los privilegios que se comprobaron durante la operación Crear máquina virtual. Los datos contienen PrivilegeID, sessionID, OpID, etc. En este ejemplo, este administrador del sistema utilizará los filtros para obtener privilegios para el flujo de trabajo de creación de la máquina virtual. El administrador del sistema ahora puede crear una función con los privilegios mínimos necesarios y asignarla al usuario.
