Étendez les capacités RBAC fournies par NSX-T Data Center et créez des rôles personnalisés qui répondent à vos exigences opérationnelles. Vous pouvez cloner un rôle existant et le personnaliser ou vous pouvez créer un rôle. À partir de NSX-T Data Center  3.1.1, vous pouvez également modifier et supprimer des rôles créés par l'utilisateur.

  • Vous pouvez créer des rôles personnalisés uniquement pour les fonctionnalités disponibles dans le mode de stratégie. Si vous clonez un rôle avec un accès à des fonctionnalités en mode de gestionnaire, le rôle cloné donne accès uniquement aux fonctionnalités du mode de stratégie. Par exemple, les fonctionnalités telles que Mise à niveau, Migration, Infrastructure, TraceFlow, NSX Intelligence et Inventaire de serveurs physiques et de conteneurs sont uniquement disponibles en mode de gestionnaire et ne sont donc pas prises en charge. La plupart des fonctionnalités sont prises en charge. Les fonctionnalités non prises en charge pour les utilisateurs disposant d'un rôle personnalisé sont les suivantes :
    • Système > Configuration > Infrastructure > Profils
    • Système > Configuration > Infrastructure > Zones de transport
    • Système > Configuration > Infrastructure > Paramètres > Tunnel/Point de terminaison distant et du tunnel
    • Système > Configuration > Annuaire AD de pare-feu d'identité
    • Système > Gestion du cycle de vie > Mettre à niveau et migrer
    • Système > Paramètres > Gestion des utilisateurs, Bundle de support, Paramètres de proxy et Paramètres de l'interface utilisateur
    Pour plus d'informations sur les modes de gestionnaire et de stratégie, reportez-vous à la section NSX Manager.
  • Seul un administrateur d'entreprise peut attribuer l'autorisation de la fonctionnalité de gestion des rôles à un rôle personnalisé. Un administrateur d'entreprise peut créer un rôle personnalisé pour déléguer la création d'un rôle personnalisé et l'attribution d'un rôle d'utilisateur.
  • Un utilisateur avec un rôle personnalisé peut uniquement créer d'autres rôles personnalisés avec des ensembles d'autorisations égales ou inférieures. Un utilisateur avec un rôle personnalisé ne peut pas créer ou attribuer des rôles avec des autorisations supérieures à la sienne.
  • Un utilisateur avec un rôle personnalisé ne peut pas modifier ou supprimer le rôle qui lui est attribué.
Note : Les rôles personnalisés ne sont pas pris en charge sur le gestionnaire global (fédération).

Procédure

  1. Dans le navigateur, connectez-vous avec des privilèges d'administrateur à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
  2. Sélectionnez Système > Utilisateurs et Rôles > Rôles.
  3. Clonez un rôle existant ou créez-en un.
    • Pour cloner un rôle, cliquez sur le menu Action de ce rôle et sélectionnez Cloner. Entrez un nom pour le rôle cloné et spécifiez les autorisations selon vos exigences opérationnelles.
    • Pour créer un rôle, cliquez sur Ajouter un rôle. Entrez un nom pour le rôle et mettez à jour les autorisations selon vos exigences opérationnelles.
    Note : Selon les fonctionnalités que vous sélectionnez, NSX-T Data Center peut suggérer des autorisations supplémentaires pour que la nouvelle définition de rôle soit valide. Passez en revue les recommandations et cliquez sur Appliquer.

    Lors de la création d'un rôle personnalisé, NSX-T Data Center vérifie les interdépendances des fonctionnalités. La vérification de l'interdépendance garantit que l'utilisateur dispose d'un minimum d'accès en lecture aux fonctionnalités supplémentaires requises pour que le rôle soit valide.

    Par exemple, si un utilisateur crée un rôle avec des autorisations d'accès complet au pare-feu de passerelle et l'autorisation d'accès Aucun à la fonctionnalité de passerelle de mise en réseau, le rôle n'est pas valide. NSX-T Data Center suggère alors que l'utilisateur attribue au moins un accès en lecture à la fonctionnalité de passerelle de mise en réseau supplémentaire requise.

  4. (Facultatif) Modifiez ou supprimez un rôle créé par l'utilisateur.
    • Pour modifier un rôle créé par l'utilisateur, par exemple, si vous souhaitez étendre l'accès, cliquez sur le menu Action correspondant à ce rôle et sélectionnez Modifier. Modifiez le nom, la description et les autorisations du rôle conformément à vos exigences opérationnelles.
    • Pour supprimer un rôle créé par l'utilisateur, par exemple, s'il s'agissait d'un accès temporaire, cliquez sur le menu Action correspondant à ce rôle et sélectionnez Supprimer.