En vCenter Server, los permisos globales se aplican a un objeto raíz global que expande soluciones de VMware. En un SDDC local, los permisos globales pueden abarcar tanto vCenter Server como VMware Aria Automation Orchestrator. Sin embargo, para vSphere SDDC, los permisos globales se aplican a objetos globales, como etiquetas y bibliotecas de contenido.
Puede asignar permisos globales a usuarios o grupos, y decidir qué función asignar a cada usuario o grupo. La función determina el conjunto de privilegios que el usuario o el grupo tienen para todos los objetos de la jerarquía. Puede asignar una función predefinida o crear funciones personalizadas. Consulte Usar funciones de vCenter Server para asignar privilegios.
Es importante distinguir entre los permisos de vCenter Server y los permisos globales.
Tipo de permiso | Descripción |
---|---|
vCenter Server | Los permisos de vCenter Server se aplican a objetos específicos de la jerarquía de inventario, como hosts, máquinas virtuales, almacenes de datos, etc. Cuando se asignan permisos de vCenter Server, se especifica que el usuario o grupo tenga una función (conjunto de privilegios) sobre el objeto. |
Global | Los permisos globales conceden a un usuario o grupo privilegios para ver o administrar todos los objetos en cada una de las jerarquías de inventario de la implementación. Los permisos globales también se aplican a objetos globales, como etiquetas y bibliotecas de contenido. Consulte Permisos de vCenter Server en objetos de etiqueta. Si asigna un permiso global y no selecciona Propagar, los usuarios o grupos asociados con este permiso no tendrán acceso a los objetos de la jerarquía. Solo podrán acceder a algunas funcionalidades globales, como la creación de funciones. |
Agregar permisos globales
Se pueden utilizar permisos globales para otorgar a un usuario o un grupo privilegios sobre todos los objetos de todas las jerarquías del inventario de la implementación.
Requisitos previos
Para realizar esta tarea, se deben tener los privilegios
en el objeto raíz de todas las jerarquías del inventario.Procedimiento
Permisos de vCenter Server en objetos de etiqueta
En la jerarquía de objetos de vCenter Server, los objetos de etiqueta no son objetos secundarios de vCenter Server, sino que se crean al nivel superior de vCenter Server. En los entornos que tienen varias instancias de vCenter Server, los objetos de etiqueta se comparten en las instancias de vCenter Server. El funcionamiento de los permisos para los objetos de etiqueta es distinto al de los permisos para otros objetos de la jerarquía de objetos de vCenter Server.
Solo se aplican los permisos globales o los permisos asignados al objeto de etiqueta
Si otorga permisos a un usuario en un objeto de inventario de vCenter Server, como una máquina virtual, ese usuario puede realizar las tareas asociadas con el permiso. Sin embargo, el usuario no puede realizar operaciones de etiquetado en el objeto.
Permiso global | Permiso de nivel de etiqueta | Permiso de nivel de objeto de vCenter Server | Permiso efectivo |
---|---|---|---|
No hay privilegios de etiquetado asignados. | Dana tiene los privilegios Asignar o desasignar etiqueta de vSphere para la etiqueta. | Dana tiene los privilegios Eliminar etiqueta de vSphere en el host ESXi TPA. | Dana tiene los privilegios Asignar o desasignar etiqueta de vSphere para la etiqueta. |
Dana tiene los privilegios Asignar o desasignar etiqueta de vSphere. | No hay privilegios asignados para la etiqueta. | Dana tiene los privilegios Eliminar etiqueta de vSphere en el host ESXi TPA. | Dana tiene los privilegios globales Asignar o desasignar etiqueta de vSphere. Eso incluye privilegios en el nivel de etiqueta. |
No hay privilegios de etiquetado asignados. | No hay privilegios asignados para la etiqueta. | Dana tiene los privilegios Asignar o desasignar etiqueta de vSphere en el host ESXi TPA. | Dana no tiene privilegios de etiquetado en ningún objeto, incluido el host TPA. |
Los permisos globales complementan los permisos de objeto de etiqueta
Los permisos globales, es decir, los permisos que están asignados en el objeto de nivel superior, complementan los permisos en los objetos de etiqueta cuando los permisos de los objetos de etiqueta tienen más restricciones. Los permisos de vCenter Server no influyen en los objetos de etiqueta.
Por ejemplo, suponga que asigna el privilegio Eliminar etiqueta de vSphere al usuario Robin en el nivel superior mediante el uso de permisos globales. Para la producción de la etiqueta, no asigna el privilegio Eliminar etiqueta de vSphere a Robin. En ese caso, Robin tiene el privilegio para la producción de etiqueta porque tiene el permiso global, que se propaga desde el nivel superior. No se pueden restringir los privilegios a menos que se modifique el permiso global.
Permiso global | Permiso de nivel de etiqueta | Permiso efectivo |
---|---|---|
Robin tiene los privilegios Eliminar etiqueta de vSphere. | Robin no tiene los privilegios Eliminar etiqueta de vSphere para la etiqueta. | Robin tiene los privilegios Eliminar etiqueta de vSphere. |
No hay privilegios de etiquetado asignados. | Robin no tiene los privilegios Eliminar etiqueta de vSphere asignados para la etiqueta. | Robin no tiene los privilegios Eliminar etiqueta de vSphere. |
Los permisos de nivel de etiqueta pueden extender los permisos globales
Se pueden utilizar permisos de nivel de etiqueta para extender los permisos globales. Eso significa que los usuarios pueden tener un permiso global y un permiso de nivel de etiqueta en una etiqueta.
Permiso global | Permiso de nivel de etiqueta | Permiso efectivo |
---|---|---|
Lee tiene el privilegio Asignar o desasignar etiqueta de vSphere. | Lee tiene el privilegio Eliminar etiqueta de vSphere. | Lee tiene los privilegios Asignar etiqueta de vSphere y Eliminar etiqueta de vSphere para la etiqueta. |
No hay privilegios de etiquetado asignados. | Lee tiene el privilegio Eliminar etiqueta de vSphere asignado para la etiqueta. | Lee tiene el privilegio Eliminar etiqueta de vSphere para la etiqueta. |