Pour déployer et administrer NSX Data Center for vSphere, certaines autorisations vCenter sont requises. NSX Data Center for vSphere offre des autorisations étendues d'accès en lecture et en lecture/écriture pour les différents utilisateurs et rôles.
Liste des fonctionnalités avec les rôles et les autorisations
Note :
- Les rôles Ingénieur de sécurité et Ingénieur réseau sont disponibles dans NSX 6.4.2 et versions ultérieures.
- Le rôle Administrateur de sécurité et de rôles est disponible dans NSX 6.4.5 et versions ultérieures.
| Fonctionnalité | Description | Rôles | ||||||
|---|---|---|---|---|---|---|---|---|
| Auditeur | Administrateur sécurité | Ingénieur de sécurité | Administrateur NSX | Ingénieur réseau | Administrateur de sécurité et de rôles | Administrateur d'entreprise | ||
| Administrateur (Administrator) | ||||||||
| Configuration | Configuration de vCenter et SSO avec NSX | R | R | R | R | R | R | R, W |
| Mise à jour | Pas d'accès | Pas d'accès | Pas d'accès | R, W | R, W | Pas d'accès | R, W | |
| Événements système | Événements système | R | R, W | R, W | R, W | R, W | R, W | R, W |
| journaux d'audit | journaux d'audit | R | R | R | R | R | R | R |
| Déboguer | Pas d'accès | Pas d'accès | Pas d'accès | Pas d'accès | Pas d'accès | Pas d'accès | Pas d'accès | |
| Tâches de maintenance | R | R | R | R, W | R, W | R | R, W | |
| Désactivation de l’authentification de base | R | R | R | R | R | R | R, W | |
| Gestion des comptes utilisateurs (User Account Management (URM)) | ||||||||
| Gestion des comptes utilisateurs | Gestion des utilisateurs | R |
Pas d'accès | Pas d'accès | R | R | R, W | R, W |
| Contrôle d'accès aux objets | Pas d'accès | Pas d'accès | Pas d'accès | R | R | R | R | |
| Contrôle d'accès aux fonctionnalités | Pas d'accès | Pas d'accès | Pas d'accès | R | R | R | R | |
| Edge | ||||||||
| Système | Système fait référence aux paramètres système généraux | R | R | R | R, W | R, W | R | R, W |
| Services avancés | R | R, W | R, W | R | R | R, W | R, W | |
| Dispositif | Facteurs de forme différents de NSX Edge (Compacte /Grande/Extra grande/Super grande) | R | R | R | R, W | R, W | R | R, W |
| Haute disponibilité | R | R | R | R, W | R, W | R | R, W | |
| vNIC | Configuration d'interface sur NSX Edge | R | R, W | R | R, W | R, W | R | R, W |
| DNS | R | R, W | R | R | R, W | R | R, W | |
| SSH | Configuration de SSH sur NSX Edge | R | R, W | R | R, W | R, W | R | R, W |
| Auto plumbing | R | R, W | R, W | R | R | R, W | R, W | |
| Statistiques | R | R | R | R | R | R | R, W | |
| NAT | Configuration de NAT sur NSX Edge | R | R, W | R | R | R, W | R | R, W |
| DHCP | R | R, W | R | R | R, W | R | R, W | |
| Équilibrage de charge | R | R, W | R | R | R, W | R | R, W | |
| VPN L3 | VPN L3 | R | R, W | R | R | R, W | R | R, W |
| VPN | VPN L2, SSL VPN | R | R, W | R | R | R, W | R | R, W |
| Syslog | Configuration de Syslog sur NSX Edge | R | R, W | R | R, W | R, W | R | R, W |
| Bundle de support | R (accès au téléchargement) | R, W | R, W | R, W | R, W | R, W | R, W | |
| Routage | L'ensemble du routage statique et dynamique (BGP/OSPF) sur NSX Edge | R | R, W | R | R | R, W | R | R, W |
| Pare-feu | Configuration du pare-feu sur NSX Edge | R | R, W | R, W | R | R | R, W | R, W |
| Pontage | R | R, W | R | R | R, W | R | R, W | |
| Certificat | R | R, W | R, W | R | R | R, W | R, W | |
| Contrôle du système | Le contrôle du système faire référence aux paramètres du noyau du système tels que les limites maximales, le transfert IP, la mise en réseau et les paramètres système. Par exemple : ysctl.net.ipv4.conf.vNic_1.rp_filter sysctl.net.netfilter.nf_conntrack_tcp_timeout_established |
R | R, W | R, W | R, W | R, W | R, W | R, W |
| Pare-feu distribué (Distributed Firewall) | ||||||||
| Configuration du pare-feu |
|
R | R, W | R, W | R, W | Pas d'accès | R, W | R, W |
| Flux | Le dispositif Flow monitoring permet de surveiller les flux de trafic dans le système. Les flux en direct peuvent également être surveillés | R | R, W | R, W | Pas d'accès | R, W | R, W | R, W |
| Configuration IPFix | Activation/désactivation d'IPFix et affectation de collecteurs | R | R, W | R, W | Pas d'accès | R, W | R, W | R, W |
| Forcer la synchronisation | ForceSync effectue une synchronisation complète à partir de la page Installation et mise à niveau > Préparation de l'hôte (Installation and Upgrade > Host Preparation) | R | R | R, W | R, W | Pas d'accès | R, W | R, W |
| Installer DFW (préparation de l'hôte) | Installer VIBS sur les clusters | R | R | R | R, W | R, W | R | R, W |
| Configurations enregistrées (brouillons) | Chaque publication enregistrera automatiquement la configuration DFW existante en tant que brouillon | R | R, W | R, W | Pas d'accès | Pas d'accès | R, W | R, W |
| Liste d'exclusion | Ajout à la liste d'exclusion de VM ne devant PAS être protégées par DFW ou à supprimer | R | R, W | R, W | Pas d'accès | Pas d'accès | R, W | R, W |
| Support technique DFW | Collecte du bundle de support technique DFW à partir d'un hôte (uniquement shell de configuration NSX) | Pas d'accès | R, W | R, W | R, W | Pas d'accès | R, W | R, W |
| Temporisateurs de session DFW | Configuration du délai d'expiration de connexion pour le protocole TCP/UDP/autre | R | R, W | R, W | Pas d'accès | Pas d'accès | R, W | R, W |
| Découverte d'adresses IP (Écoute DHCP/ARP) | Découverte d'adresses IP lorsque les VMware Tools ne s'exécutent pas sur les VM invitées | R | R, W | R, W | R | Pas d'accès | R, W | R, W |
| Gestionnaire de règles d'application | Des flux sont collectés pour un ensemble sélectionné d'applications. Des règles de pare-feu sont ensuite créées en fonction des flux collectés. | R | R, W | R, W | Pas d'accès | Pas d'accès | R, W | R, W |
| app.syslog | R | R | Pas d'accès | R, W | Pas d'accès | Pas d'accès | R, W | |
| Capture de paquets | R | R, W | R, W | R, W | R, W | R, W | R, W | |
| Espace de noms (NameSpace) | ||||||||
| Configuration | R | R | R | R, W | R, W | R | R, W | |
| SpoofGuard | ||||||||
| Configuration | Publication de SpoofGuard dans TOFU ou en mode manuel | R | R, W | R, W | Pas d'accès | Pas d'accès | R, W | R, W |
| Endpoint Security (EPSEC) | ||||||||
| Rapports | R | R | R | R, W | R | R | R, W | |
| Enregistrement | Gestion des solutions [Inscrire, Désinscrire, Solutions enregistrées par requête, Activer] Solutions | R | Pas d'accès | Pas d'accès | R, W | R, W | Pas d'accès | R, W |
| Surveillance de l'intégrité | Extraction du statut d'intégrité de VM, SVM vers NSX Manager | Pas d'accès | R | R | R | R | R | R |
| Règle | Gestion des règles de sécurité [Créer, Lire, Mettre à jour, Supprimer] | R | R, W | R, W | R, W | R | R, W | R, W |
| Planification des analyses | R | Pas d'accès | R, W | R, W | R | R, W | R, W | |
| Bibliothèque (Library) | ||||||||
| Préparation de l'hôte | Action de préparation de l'hôte sur le cluster | Pas d'accès | Pas d'accès | Pas d'accès | R, W | R, W | Pas d'accès | R, W |
| Regroupement | Ensemble d'IP, ensemble MAC, groupe de sécurité, service, groupe de services | R | R, W | R, W | R | R | R, W | R, W |
| Balisage | Balise de sécurité (par exemple, attacher ou détacher des VM) | R | R, W | R, W | R | R | R, W | R, W |
| Installer (Install) | ||||||||
| App | Pas d'accès | R | R | R, W | R, W | R | R, W | |
| EPSEC | Pas d'accès | R | R | R, W | R, W | R | R, W | |
| DLP | Pas d'accès | R | R | R, W | R, W | R | R, W | |
| VDN | ||||||||
| Configurer NSM | Configurer Network Security Manager | R | R | R | R, W | R, W | R | R, W |
| Provisionner | R | R | R | R, W | R, W | R | R, W | |
| ESX Agent Manager (EAM) | ||||||||
| Installer | ESX Agent Manager | Pas d'accès | R | R | R, W | R, W | R | R, W |
| Service Insertion | ||||||||
| Service | R | R, W | R, W | R, W | R | R, W | R, W | |
| Profil du service | R | R | R, W | R, W | R | R, W | R, W | |
| Magasin d'approbations (Trust Store) | ||||||||
| trustentity_management | Gestion de certificat NSX | R | R, W | R, W | R, W | R, W | R, W | R, W |
| IP Address Management (IPAM) | ||||||||
| Configuration | Configuration du pool d'adresses IP | R | R, W | R | R, W | R, W | R | R, W |
| Allocation IP | Allocation IP et publication | R | R, W | R | R, W | R, W | R | R, W |
| Security Fabric | ||||||||
| Déployer | Déployer le service ou la VM de sécurité sur le cluster au moyen de la page Déploiement de services (Service Deployment) | R | R | R | R, W | R | R | R, W |
| Alarmes | Dans la page Déploiement de services (Service Deployment), gérez les alarmes qui sont générées par la VM de sécurité | R | R, W | R | R, W | R, W | R | R, W |
| Statut d'intégrité de l'agent | Gestion de l'alarme de l'état d'intégrité de l'agent via un appel REST, principalement utilisé par les VM partenaires | R | R, W | R, W | R, W | R, W | R, W | R, W |
| Messagerie (Messaging) | ||||||||
| Messagerie | Structure de messagerie utilisée par NSX Edge et Guest Introspection pour communiquer avec NSX Manager | R | R, W | R, W | R, W | R, W | R, W | R, W |
| Réplicateur (configuration multiple de vCenter avec l'instance secondaire de NSX Manager) (Replicator (Multi vCenter setup with secondary NSX Manager)) | ||||||||
| Configuration | Sélection ou désélection du rôle principal pour NSX Manager, et ajout ou suppression du NSX Manager secondaire | R | R | R | R, W | R, W | R | R, W |
| blueprint_sam.featurelist | ||||||||
| blueprint_sam.ad_config | Utilisé pour la configuration de domaine Active Directory | R | R | R | R, W | R, W | R | R, W |
| Stratégie de sécurité (Security Policy) | ||||||||
| Configuration | Configurer la stratégie de sécurité pour créer, mettre à jour, modifier ou supprimer | R | R, W | R, W | Pas d'accès | Pas d'accès | R, W | R, W |
| Liaison du groupe de sécurité | Association du groupe de sécurité à une stratégie de sécurité | R | R, W | R, W | Pas d'accès | Pas d'accès | R, W | R, W |
| Appliquer la stratégie | R | R, W | R, W | Pas d'accès | Pas d'accès | R, W | R, W | |
| Synchronisation de la stratégie | Stratégie de sécurité de synchronisation avec DFW | R | Peut se synchroniser | Peut se synchroniser | Pas d'accès | Pas d'accès | Peut se synchroniser | R, W |
| NSX Appliance Management (Dans NSX 6.4 et versions ultérieures) | ||||||||
| NSX Appliance Management | NSX Appliance Management | R | R | R | R | R | R | R, W |
| Référentiel d’adresses IP/Découverte d’adresses IP (IP Repository/IP Discovery) | ||||||||
| Configuration | R | R, W | R, W | R | Pas d'accès | R, W | R, W | |
| Tableau de bord (Dashboard) | ||||||||
| Configuration du widget | R | R, W | R | R, W | R | R | R, W | |
| Configuration système | R | R, W | R | R, W | R | R | R, W | |
| Mettre à niveau le coordinateur (Upgrade Coordinator) | ||||||||
| Mise à niveau | Pas d'accès | Pas d'accès | R | R, W | R | R | R, W | |
| Plan de mise à niveau | R | R | R | R, W | R | R | R, W | |
| Bundle de support technique (Tech Support Bundle) | ||||||||
| Configuration | Endpoint | R, W | R, W | R, W | R, W | R, W | R, W | R, W |
| Authentification basée sur le jeton (Token Based Authentication) | ||||||||
| Invalidation | Pas d'accès | Pas d'accès | Pas d'accès | Pas d'accès | Pas d'accès | Pas d'accès | R, W | |
| Ops | ||||||||
| Configuration | R | R | R | R, W | R | R | R, W | |
