Para configurar y trabajar con cuentas de nube en vRealize Automation, compruebe que dispone de las siguientes credenciales.

Credenciales generales obligatorias

Para... Necesita...

Registrarse e iniciar sesión en Cloud Assembly

Un identificador de VMware.

  • Configure una cuenta de My VMware usando su dirección de correo electrónico corporativa en VMware Customer Connect.

Conectarse a los servicios de vRealize Automation

El puerto HTTPS 443 abierto al tráfico saliente con acceso a través de firewall a:
  • *.vmwareidentity.com
  • gaz.csp-vidm-prod.com
  • *.vmware.com

Para obtener más información sobre puertos y protocolos, consulte Puertos y protocolos de VMware.

Para obtener más información sobre puertos y protocolos, consulte Requisitos de puertos en la ayuda de Arquitectura de referencia.

Credenciales de cuenta de nube de vCenter

En esta sección, se describen las credenciales requeridas para agregar una cuenta de nube de vCenter.

Se necesitan privilegios para que el agente de vSphere administre la instancia de vCenter Server. Proporcionar una cuenta con los siguientes privilegios de lectura y escritura:
  • Dirección IP o FQDN de vCenter

Se enumeran los permisos necesarios para administrar las cuentas de nube de VMware Cloud on AWS y vCenter. Los permisos deben estar habilitados para todos los clústeres de vCenter, no solo para los clústeres que alojan endpoints.

Para admitir el control de Virtual Trusted Platform Module (vTPM) de VMware al implementar máquinas virtuales de Windows 11, debe tener el privilegio operaciones criptográficas -> acceso directo en vCenter. Sin este privilegio, no es posible acceder a la consola desde vRealize Automation a las máquinas virtuales de Windows 11. Para obtener información relacionada, consulte Descripción general del módulo de plataforma de confianza virtual.

Para todas las cuentas de nube basadas en vCenter, entre las que se incluyen NSX-V, NSX-T, vCenter y VMware Cloud on AWS, el administrador debe tener credenciales de endpoint de vSphere o las credenciales con las que el servicio del agente se ejecuta en vCenter, las cuales proporcionan acceso administrativo a la instancia de vCenter de host.

Para obtener más información sobre los requisitos del agente de vSphere, consulte la documentación del producto de VMware vSphere.
Ajuste Selección
Almacén de datos
  • Asignar espacio
  • Examinar almacén de datos
  • Operaciones de archivo de bajo nivel
Clúster de almacenes de datos
  • Configurar un clúster de almacenes de datos
Carpeta
  • Crear carpeta
  • Eliminar carpeta
Global
  • Administrar atributos personalizados
  • Establecer atributo personalizado
Red
  • Asignar red
Permisos
  • Modificar permiso
Recurso
  • Asignar máquina virtual a grupo de recursos
  • Migrar máquina virtual apagada
  • Migrar máquina virtual encendida
Profile-Driven Storage
  • Vista de Profile-Driven Storage

    Para devolver una lista de directivas de almacenamiento que se pueden asignar a un perfil de almacenamiento, conceda el privilegio StorageProfile.View a todas las cuentas que conecten vRealize Automation a vCenter.

Biblioteca de contenido

Para asignar un privilegio a una biblioteca de contenido, un administrador debe conceder el privilegio al usuario como privilegio global. Para obtener información relacionada, consulte Herencia jerárquica de permisos para bibliotecas de contenido en Administrar máquinas virtuales de vSphere en la documentación de VMware vSphere.

  • Agregar elemento de biblioteca
  • Crear biblioteca local
  • Crear biblioteca suscrita
  • Eliminar elemento de biblioteca
  • Eliminar biblioteca local
  • Eliminar biblioteca suscrita
  • Descargar archivos
  • Desalojar elemento de biblioteca
  • Sondear información de suscripción
  • Leer almacenamiento
  • Sincronizar elemento de biblioteca
  • Sincronizar biblioteca suscrita
  • Escribir introspección
  • Actualizar opciones de configuración
  • Actualizar archivos
  • Actualizar biblioteca
  • Actualizar elemento de biblioteca
  • Actualizar biblioteca local
  • Actualizar biblioteca suscrita
  • Ver opciones de configuración
Etiquetado de vSphere
  • Asignar etiqueta de vSphere o anular esta asignación
  • Asignar o anular la asignación de una etiqueta de vSphere en un objeto
  • Crear una etiqueta de vSphere
  • Crear una categoría de etiquetas de vSphere
  • Eliminar etiqueta de vSphere
  • Eliminar una categoría de etiquetas de vSphere
  • Editar etiqueta de vSphere
  • Editar una categoría de etiquetas de vSphere
  • Modifica la categoría o el campo Usado por
  • Modificar campo UsedBy de la etiqueta
vApp
  • Importar
  • Configuración de aplicación vApp

    La configuración de la aplicación vApp.Import es necesaria para las plantillas de OVF y para aprovisionar las máquinas virtuales desde la biblioteca de contenido.

    Se requiere la configuración de la aplicación vApp.vApp cuando se utiliza cloud-init para la creación de scripts de configuración de nube. Esta configuración permite modificar la estructura interna de una vApp, como la información y las propiedades de un producto.

Máquina virtual: Inventario
  • Crear a partir de existente
  • Crear nuevo
  • Mover
  • Eliminar
Máquina virtual: Interacción
  • Configurar CD
  • Interacción de consola
  • Conexión de dispositivos
  • Apagar
  • Encender
  • Restablecer
  • Suspender
  • Instalación de herramientas
Máquina virtual: Configuración
  • Agregar disco existente
  • Agregar nuevo
  • Eliminar disco
  • Agregar o eliminar dispositivo
  • Configuración avanzada
  • Cambiar recuento de CPU
  • Cambiar recurso
  • Extender disco virtual
  • Seguimiento de cambios en el disco
  • Memoria
  • Modificar configuración de dispositivo
  • Cambiar nombre
  • Establecer anotación
  • Configuración
  • Colocación de archivo de intercambio
Máquina virtual: Aprovisionamiento
  • Personalizar
  • Clonar plantilla
  • Clonar máquina virtual
  • Implementar plantilla
  • Leer especificaciones de personalización
Máquina virtual: Estado
  • Crear instantánea
  • Quitar instantánea
  • Revertir a instantánea

Credenciales de cuenta de nube de Amazon Web Services (AWS)

En esta sección, se describen las credenciales requeridas para agregar una cuenta de nube de Amazon Web Services. Consulte la sección Credenciales de cuenta de nube de vCenter anterior para conocer los requisitos adicionales de las credenciales.

Proporcionar una cuenta de usuario avanzado con privilegios de lectura y escritura. La cuenta de usuario debe pertenecer a la directiva de acceso de alimentación (PowerUserAccess) en el sistema de administración de identidades y acceso (Identity and Access Management, IAM) de AWS.

Habilite el identificador de clave de acceso de 20 dígitos y el acceso a la clave de acceso secreta correspondiente.

Si utiliza un proxy de Internet HTTP externo, debe configurarlo para IPv4.

La extensibilidad basada en acciones (Actions-based Extensibility, ABX) de vRealize Automation y la integración de IPAM externa pueden requerir permisos adicionales.
Ajuste Selección
Acciones de ajuste automático de escala

Se recomiendan los siguientes permisos de AWS para permitir las funciones de ajuste automático de escala:

  • autoscaling:DescribeAutoScalingInstances
  • autoscaling:AttachInstances
  • autoscaling:DeleteLaunchConfiguration
  • autoscaling:DescribeAutoScalingGroups
  • autoscaling:CreateAutoScalingGroup
  • autoscaling:UpdateAutoScalingGroup
  • autoscaling:DeleteAutoScalingGroup
  • autoscaling:DescribeLoadBalancers
Recursos de ajuste automático de escala

Se requieren los siguientes permisos para habilitar los permisos de recursos de ajuste automático de escala:

  • *

    Proporcione todos los permisos de recursos de ajuste automático de escala.

Recursos del servicio de token de seguridad de AWS (AWS Security Token Service, AWS STS)

Se requieren los siguientes permisos para permitir que las funciones del servicio de token de seguridad de AWS (AWS Security Token Service, AWS STS) admitan credenciales temporales de privilegios limitados para la identidad y el acceso de AWS:

  • *

    Proporcione todos los permisos de recursos de STS.

Acciones de EC2

Se requieren los siguientes permisos de AWS para permitir las funciones de EC2:

  • ec2:AttachVolume
  • ec2:AuthorizeSecurityGroupIngress
  • ec2:DeleteSubnet
  • ec2:DeleteSnapshot
  • ec2:DescribeInstances
  • ec2:DeleteTags
  • ec2:DescribeRegions
  • ec2:DescribeVolumesModifications
  • ec2:CreateVpc
  • ec2:DescribeSnapshots
  • ec2:DescribeInternetGateways
  • ec2:DeleteVolume
  • ec2:DescribeNetworkInterfaces
  • ec2:StartInstances
  • ec2:DescribeAvailabilityZones
  • ec2:CreateInternetGateway
  • ec2:CreateSecurityGroup
  • ec2:DescribeVolumes
  • ec2:CreateSnapshot
  • ec2:ModifyInstanceAttribute
  • ec2:DescribeRouteTables
  • ec2:DescribeInstanceTypes
  • ec2:DescribeInstanceTypeOfferings
  • ec2:DescribeInstanceStatus
  • ec2:DetachVolume
  • ec2:RebootInstances
  • ec2:AuthorizeSecurityGroupEgress
  • ec2:ModifyVolume
  • ec2:TerminateInstances
  • ec2:DescribeSpotFleetRequestHistory
  • ec2:DescribeTags
  • ec2:CreateTags
  • ec2:RunInstances
  • ec2:DescribeNatGateways
  • ec2:StopInstances
  • ec2:DescribeSecurityGroups
  • ec2:CreateVolume
  • ec2:DescribeSpotFleetRequests
  • ec2:DescribeImages
  • ec2:DescribeVpcs
  • ec2:DeleteSecurityGroup
  • ec2:DeleteVpc
  • ec2:CreateSubnet
  • ec2:DescribeSubnets
  • ec2:RequestSpotFleet
    Nota: El permiso de solicitud de SpotFleet no es necesario para la extensibilidad basada en acciones de vRealize Automation ni las integraciones de IPAM externas.
Recursos de EC2
  • *

    Proporcione todos los permisos de recursos de EC2.

Equilibrio de carga flexible: acciones del equilibrador de carga
  • elasticloadbalancing:DeleteLoadBalancer
  • elasticloadbalancing:DescribeLoadBalancers
  • elasticloadbalancing:RemoveTags
  • elasticloadbalancing:CreateLoadBalancer
  • elasticloadbalancing:DescribeTags
  • elasticloadbalancing:ConfigureHealthCheck
  • elasticloadbalancing:AddTags
  • elasticloadbalancing:CreateTargetGroup
  • elasticloadbalancing:DeleteLoadBalancerListeners
  • elasticloadbalancing:DeregisterInstancesFromLoadBalancer
  • elasticloadbalancing:RegisterInstancesWithLoadBalancer
  • elasticloadbalancing:CreateLoadBalancerListeners
Equilibrio de carga flexible: recursos del equilibrador de carga
  • *

    Proporcione todos los permisos de recursos del equilibrador de carga.

Administración de identidades y acceso (Identity and Access Management, IAM) de AWS
Pueden habilitarse los siguientes permisos de administración de identidades y acceso (Identity and Access Management, IAM) de AWS, aunque no son obligatorios:
  • iam:SimulateCustomPolicy
  • iam:GetUser
  • iam:ListUserPolicies
  • iam:GetUserPolicy
  • iam:ListAttachedUserPolicies
  • iam:GetPolicyVersion
  • iam:ListGroupsForUser
  • iam:ListGroupPolicies
  • iam:GetGroupPolicy
  • iam:ListAttachedGroupPolicies
  • iam:ListPolicyVersions

Credenciales de cuenta de nube de Microsoft Azure

En esta sección, se describen las credenciales requeridas para agregar una cuenta de nube de Microsoft Azure.

Configure una instancia de Microsoft Azure y obtenga una suscripción válida a Microsoft Azure a partir de la que pueda usar el identificador de suscripción.

Cree una aplicación de Active Directory como se describe en Procedimientos: Uso del portal para crear una aplicación de Azure AD y una entidad de servicio con acceso a los recursos en la documentación del producto de Microsoft Azure.

Si utiliza un proxy de Internet HTTP externo, debe configurarlo para IPv4.

  • Configuración general
    Se requieren los siguientes ajustes generales.
    Ajuste Descripción
    Identificador de suscripción Permite acceder a las suscripciones de Microsoft Azure.
    Identificador de tenant Es el endpoint de autorización de las aplicaciones de Active Directory que se crean en la cuenta de Microsoft Azure.
    Identificador de la aplicación cliente Otorga acceso a Microsoft Active Directory en la cuenta individual de Microsoft Azure.
    Clave secreta de la aplicación cliente Es la clave secreta única generada para emparejarse con el identificador de la aplicación cliente.
  • Configuración para crear y validar cuentas de nube
    Se necesitan los siguientes permisos para crear y validar cuentas de nube de Microsoft Azure.
    Ajuste Selección
    Microsoft Compute
    • Microsoft.Compute/virtualMachines/extensions/write
    • Microsoft.Compute/virtualMachines/extensions/read
    • Microsoft.Compute/virtualMachines/extensions/delete
    • Microsoft.Compute/virtualMachines/deallocate/action
    • Microsoft.Compute/virtualMachines/delete
    • Microsoft.Compute/virtualMachines/powerOff/action
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachines/restart/action
    • Microsoft.Compute/virtualMachines/start/action
    • Microsoft.Compute/virtualMachines/write
    • Microsoft.Compute/availabilitySets/write
    • Microsoft.Compute/availabilitySets/read
    • Microsoft.Compute/availabilitySets/delete
    • Microsoft.Compute/disks/delete
    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/write
    Microsoft Network
    • Microsoft.Network/loadBalancers/backendAddressPools/join/action
    • Microsoft.Network/loadBalancers/delete
    • Microsoft.Network/loadBalancers/read
    • Microsoft.Network/loadBalancers/write
    • Microsoft.Network/networkInterfaces/join/action
    • Microsoft.Network/networkInterfaces/read
    • Microsoft.Network/networkInterfaces/write
    • Microsoft.Network/networkInterfaces/delete
    • Microsoft.Network/networkSecurityGroups/join/action
    • Microsoft.Network/networkSecurityGroups/read
    • Microsoft.Network/networkSecurityGroups/write
    • Microsoft.Network/networkSecurityGroups/delete
    • Microsoft.Network/publicIPAddresses/delete
    • Microsoft.Network/publicIPAddresses/join/action
    • Microsoft.Network/publicIPAddresses/read
    • Microsoft.Network/publicIPAddresses/write
    • Microsoft.Network/virtualNetworks/read
    • Microsoft.Network/virtualNetworks/subnets/delete
    • Microsoft.Network/virtualNetworks/subnets/join/action
    • Microsoft.Network/virtualNetworks/subnets/read
    • Microsoft.Network/virtualNetworks/subnets/write
    • Microsoft.Network/virtualNetworks/write
    Microsoft Resources
    • Microsoft.Resources/subscriptions/resourcegroups/delete
    • Microsoft.Resources/subscriptions/resourcegroups/read
    • Microsoft.Resources/subscriptions/resourcegroups/write
    Microsoft Storage
    • Microsoft.Storage/storageAccounts/delete
    • Microsoft.Storage/storageAccounts/read
    • Microsoft.Storage/storageAccounts/write

    • Por lo general, Microsoft.Storage/storageAccounts/listKeys/action no es necesaria, pero puede que los usuarios la necesiten para ver las cuentas de almacenamiento.

    Microsoft Web
    • Microsoft.Web/sites/read
    • Microsoft.Web/sites/write
    • Microsoft.Web/sites/delete
    • Microsoft.Web/sites/config/read
    • Microsoft.Web/sites/config/write
    • Microsoft.Web/sites/config/list/action
    • Microsoft.Web/sites/publishxml/action
    • Microsoft.Web/serverfarms/write
    • Microsoft.Web/serverfarms/delete
    • Microsoft.Web/sites/hostruntime/functions/keys/read
    • Microsoft.Web/sites/hostruntime/host/read
    • Microsoft.web/sites/functions/masterkey/read
  • Configuración de la extensibilidad basada en acciones
    Si utiliza Microsoft Azure con extensibilidad basada en acciones, se requieren los siguientes permisos (además de los permisos mínimos).
    Ajuste Selección
    Microsoft Web
    • Microsoft.Web/sites/read
    • Microsoft.Web/sites/write
    • Microsoft.Web/sites/delete
    • Microsoft.Web/sites/*/action
    • Microsoft.Web/sites/config/read
    • Microsoft.Web/sites/config/write
    • Microsoft.Web/sites/config/list/action
    • Microsoft.Web/sites/publishxml/action
    • Microsoft.Web/serverfarms/write
    • Microsoft.Web/serverfarms/delete
    • Microsoft.Web/sites/hostruntime/functions/keys/read
    • Microsoft.Web/sites/hostruntime/host/read
    • Microsoft.Web/sites/functions/masterkey/read
    • Microsoft.Web/apimanagementaccounts/apis/read
    Autorización de Microsoft
    • Microsoft.Authorization/roleAssignments/read
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    Microsoft Insights
    • Microsoft.Insights/Components/Read
    • Microsoft.Insights/Components/Write
    • Microsoft.Insights/Components/Query/Read

    Si se asigna la propiedad Storage account public access should be disallowed a un grupo de recursos con el tipo de efecto Deny, se impide la creación automática de cuentas de almacenamiento para acciones de extensibilidad. En este caso, las acciones de extensibilidad no se pueden ejecutar si el proveedor FaaS está establecido en Selección automática. Debe establecer manualmente el proveedor FaaS como Microsoft Azure y configurar la cuenta de almacenamiento y el grupo de recursos.

  • Configuración de la extensibilidad basada en acciones con extensiones
    Si utiliza Microsoft Azure con la extensibilidad basada en acciones con extensiones, también se requieren los siguientes permisos.
    Ajuste Selección
    Microsoft.Compute
    • Microsoft.Compute/virtualMachines/extensions/write
    • Microsoft.Compute/virtualMachines/extensions/read
    • Microsoft.Compute/virtualMachines/extensions/delete

Para obtener información relacionada sobre la creación de una cuenta de nube de Microsoft Azure, consulte Configurar Microsoft Azure.

Credenciales de la cuenta de nube Google Cloud Platform (GCP)

En esta sección, se describen las credenciales requeridas para agregar una cuenta de nube de Google Cloud Platform.

La cuenta de nube de Google Cloud Platform interactúa con el motor de proceso de Google Cloud Platform.

Se requieren las credenciales de propietario y administrador del proyecto para crear y validar cuentas de nube de Google Cloud Platform.

Si utiliza un proxy de Internet HTTP externo, debe configurarlo para IPv4.

El servicio del motor de proceso debe estar habilitado. Al crear la cuenta de nube en vRealize Automation, utilice la cuenta de servicio que se creó al inicializar el motor de proceso.

También se requieren los siguientes permisos de motor de proceso, en función de las acciones que el usuario puede realizar.
Ajuste Selección

roles/compute.admin

Proporciona un control total sobre todos los recursos del motor de proceso.

roles/iam.serviceAccountUse

Proporciona acceso a los usuarios que administran instancias de máquinas virtuales configuradas para ejecutarse como una cuenta de servicio. Concede acceso a los siguientes recursos y servicios:

  • compute.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

roles/compute.imageUser

Proporciona permiso para enumerar y leer imágenes sin tener otros permisos sobre la imagen. La concesión de la función compute.imageUser en el nivel de proyecto ofrece a los usuarios la posibilidad de enumerar todas las imágenes del proyecto. También permite que los usuarios creen recursos, como instancias y discos persistentes, en función de las imágenes del proyecto.

  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.list
  • compute.images.useReadOnly
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

roles/compute.instanceAdmin

Proporciona permisos para crear, modificar y eliminar instancias de máquinas virtuales. Esto incluye los permisos para crear, modificar y eliminar discos, así como para configurar opciones de VMBETA blindadas.

Para los usuarios que administran instancias de máquinas virtuales (pero no opciones de red o de seguridad ni instancias que se ejecutan como cuentas de servicio), conceda esta función a la organización, a la carpeta o al proyecto que contengan las instancias, o a las instancias individuales.

Los usuarios que administran instancias de máquinas virtuales configuradas para ejecutarse como una cuenta de servicio también necesitan la función roles/iam.serviceAccountUser.

  • compute.acceleratorTypes
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.use
  • compute.autoscalers
  • compute.diskTypes
  • compute.disks.create
  • compute.disks.createSnapshot
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.list
  • compute.disks.resize
  • compute.disks.setLabels
  • compute.disks.update
  • compute.disks.use
  • compute.disks.useReadOnly
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalAddresses.use
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.list
  • compute.images.useReadOnly
  • compute.instanceGroupManagers
  • compute.instanceGroups
  • compute.instanceTemplates
  • compute.instances
  • compute.licenses.get
  • compute.licenses.list
  • compute.machineTypes
  • compute.networkEndpointGroups
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions
  • compute.reservations.get
  • compute.reservations.list
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

roles/compute.instanceAdmin.v1

Proporciona un control total sobre las instancias del motor de proceso, los grupos de instancias, los discos, las instantáneas y las imágenes. También proporciona acceso de lectura a todos los recursos de redes del motor de proceso.
Nota: Si concede esta función a un usuario en el nivel de instancia, ese usuario no podrá crear instancias nuevas.
  • compute.acceleratorTypes
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.use
  • compute.autoscalers
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.diskTypes
  • compute.disks
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalAddresses.use
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images
  • compute.instanceGroupManagers
  • compute.instanceGroups
  • compute.instanceTemplates
  • compute.instances
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes
  • compute.licenses
  • compute.machineTypes
  • compute.networkEndpointGroups
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.projects.setCommonInstanceMetadata
  • compute.regionBackendServices.get
  • compute.regionBackendServices.list
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.snapshots
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Credenciales de cuenta de nube de NSX-T

En esta sección se describen las credenciales requeridas para agregar una cuenta de nube de NSX-T.

Proporcione una cuenta con los siguientes privilegios de lectura y escritura .
  • Dirección IP o FQDN de NSX-T
  • NSX-T Data Center: función de administrador empresarial y credenciales de acceso

La función de auditor es obligatoria.

Habilite los siguientes privilegios mínimos en función de los requisitos y las funciones.
Categoría/Subcategoría Permiso
Redes - Puertas de enlace de nivel 0 Solo lectura
Redes - Puertas de enlace de nivel 0 -> OSPF Ninguna
Redes - Puertas de enlace de nivel 1 Acceso completo
Redes - Segmentos Acceso completo
Redes - VPN Ninguna
Redes - NAT Acceso completo
Redes - Equilibrio de carga Acceso completo
Redes - Directiva de reenvío Ninguna
Redes - Estadísticas Ninguna
Redes - DNS Ninguna
Redes - DHCP Acceso completo
Redes - Grupos de direcciones IP Ninguna
Redes - Perfiles de red Solo lectura
Seguridad - Detección y respuesta a amenazas Ninguna
Seguridad - Firewall distribuido Acceso completo
Seguridad - IDS/IPS y Prevención de malware Ninguna
Seguridad - Inspección de TLS Ninguna
Seguridad - Firewall de identidad Ninguna
Seguridad - Firewall de puerta de enlace Ninguna
Seguridad - Administración de cadena de servicios Ninguna
Seguridad - Ventana de tiempo de firewall Ninguna
Seguridad - Perfiles Ninguna
Seguridad - Perfiles de servicio Ninguna
Seguridad - Configuración de firewall Acceso completo
Seguridad - Configuración de seguridad de puerta de enlace Ninguna
Inventario Acceso completo
Solución de problemas Ninguna
Sistema Ninguna

Los administradores también necesitan acceso a la instancia de vCenter, como se describe en la sección Credenciales de cuenta de nube de vCenter de este tema.

Credenciales de cuenta de nube de NSX-V

En esta sección se describen las credenciales requeridas para agregar una cuenta de nube de NSX-V.

Proporcionar una cuenta con los siguientes privilegios de lectura y escritura:
  • Función de administrador empresarial de NSX-V y credenciales de acceso
  • Dirección IP o FQDN de NSX-V

Los administradores también necesitan acceso a vCenter como se describe en la sección Agregar una cuenta de nube de vCenter de esta tabla.

Credenciales de la cuenta de nube de VMware Cloud Director (vCD)

En esta sección, se describen las credenciales requeridas para agregar una cuenta de nube de VMware Cloud Director (vCD).

Para crear una cuenta de nube de VMware Cloud Director en vRealize Automation, es necesario proporcionar las credenciales de cuenta de un usuario de VMware Cloud Director con la función de Administrador de organización. Específicamente, se necesita el siguiente subconjunto de credenciales de la función de Administrador de organización (disponible en VMware Cloud Director) para crear y validar cuentas de nube de VMware Cloud Director en vRealize Automation:
Ajuste Selección
Acceder a todos los vDC de organización Todos
Catálogo
  • Agregar vApp desde mi nube
  • Ver catálogos privados y compartidos
  • Ver catálogos publicados
General
  • Control de administrador
  • Vista de administrador
Entrada de archivo de metadatos Crear/modificar
Red de organización
  • Editar propiedades
  • Ver
Puerta de enlace de vDC de organización
  • Ver
  • Editar propiedades
  • Ver propiedades
vDC de organización
  • Ver
  • Ver reserva de memoria y CPU
Organización
  • Editar propiedades
  • Ver
Capacidades de las directivas de cuota Ver
Plantilla de vDC
  • Crear instancias
  • Ver
Medio/plantilla de vApp
  • Copiar
  • Crear/cargar
  • Editar
  • Ver
  • VAPP_VM_METADATA_TO_VCENTER
Plantilla de vApp
  • Cambiar propietario
  • Retirar
  • Descargar
vApp
  • Cambiar propietario
  • Copiar
  • Crear/reconfigurar
  • Eliminar
  • Descargar
  • Editar propiedades
  • Editar CPU de máquina virtual
  • Editar configuración de reserva de memoria y CPU de máquina virtual en todos los tipos de vDC
  • Editar disco duro de máquina virtual
  • Editar memoria de máquina virtual
  • Editar red de máquina virtual
  • Editar propiedades de máquina virtual
  • Administrar configuración de contraseñas de máquina virtual
  • Operaciones de alimentación
  • Uso compartido
  • Operaciones de instantáneas
  • Cargar
  • Usar consola
  • Opciones de arranque de máquina virtual
  • Ver ACL
  • Ver métricas de máquina virtual
Grupo de vDC
  • Configurar
  • Configurar registro
  • Ver
No se admite la creación y el uso de una cuenta de nube de VMware Cloud Director en vRealize Automation si vRealize Automation tiene FIPS habilitado.

Credenciales de integración de vRealize Operations Manager

En esta sección se describen las credenciales requeridas para la integración con vRealize Operations Manager. Tenga en cuenta que estas credenciales se establecen y configuran en vRealize Operations Manager, no en vRealize Automation.

Proporcione una cuenta de inicio de sesión local o no local para vRealize Operations Manager con los siguientes privilegios de lectura.

  • Instancia de adaptador Adaptador de vCenter > Instancia de adaptador de VC para vCenter-FQDN

Es posible que primero se deba importar la cuenta no local para poder asignar su función de solo lectura.

Integración de NSX con Microsoft Azure VMware Solution (AVS) para vRealize Automation

Para obtener información sobre la conexión de NSX ejecutándose en Microsoft Azure VMware Solution (AVS) para vRealize Automation, incluida la configuración de funciones personalizadas, consulte los permisos de usuario CloudAdmin de NSX-T Data Center en la documentación de producto de Microsoft.