Dans la hiérarchie d'objets de vCenter Server, les objets de balise ne sont pas des enfants de vCenter Server mais sont créés au niveau racine de vCenter Server. Dans les environnements avec plusieurs instances de vCenter Server, les objets de balise sont partagés entre les instances de vCenter Server. Dans la hiérarchie d'objets de vCenter Server, les autorisations pour les objets de balise fonctionnent différemment des autorisations pour les autres objets.

Seules les autorisations globales ou attribuées à l'objet de balise s'appliquent

Si vous accordez des autorisations à un utilisateur sur un objet d'inventaire de vCenter Server, comme un hôte ou une machine virtuelle ESXi, l'utilisateur ne peut pas effectuer d'opérations de balisage sur cet objet.

Par exemple, si vous accordez le privilège Attribuer une balise vSphere à l'utilisateur Dana sur le TPA de l'hôte, cette autorisation ne modifie pas le droit accordé ou non à Dana de lui attribuer des balises. Dana doit disposer du privilège Attribuer une balise vSphere au niveau racine - c'est-à-dire une autorisation globale - ou du privilège pour l'objet de balise.

Tableau 1. Conséquences des autorisations globales et des autorisations sur les objets sur ce que peuvent faire les utilisateurs

Autorisation globale

Autorisation au niveau des balises

vCenter Server Autorisation au niveau des objets

Autorisation valable

Aucun privilège de balisage accordé

Dana dispose des privilèges Attribuer une balise vSphere ou en annuler l'attribution pour la balise.

Dana dispose des privilèges Supprimer une balise vSphere sur le TPA de l'hôte ESXi

Dana dispose des privilèges Attribuer une balise vSphere ou en annuler l'attribution pour la balise.

Dana dispose des privilèges Attribuer une balise vSphere ou en annuler l'attribution.

Aucun privilège n'est attribué pour la balise.

Dana dispose des privilèges Supprimer une balise vSphere sur le TPA de l'hôte ESXi

Dana dispose des privilèges globaux Attribuer une balise vSphere ou en annuler l'attribution. Ceci inclut des privilèges au niveau des balises.

Aucun privilège de balisage accordé

Aucun privilège n'est attribué pour la balise.

Dana dispose des privilèges Attribuer une balise vSphere ou en annuler l'attribution sur le TPA de l'hôte ESXi

Dana ne dispose des privilèges de balisage sur aucun objet, y compris le TPA de l'hôte.

Les autorisations globales étendent les autorisations sur les objets de balise

Les autorisations globales, c'est-à-dire des autorisations qui sont attribuées sur l'objet racine, complètent les autorisations sur les objets de balise lorsque celles-ci sont trop restrictives. Les autorisations vCenter Server n'affectent pas les objets de balise.

Par exemple, supposons que vous attribuez le privilège Supprimer une balise vSphere à l'utilisateur Robin au niveau racine, en utilisant les autorisations globales. Pour la production de balises, vous n'attribuez pas le privilège Supprimer une balise vSphere à Robin. Dans ce cas, Robin dispose du privilège, même pour la production de balises car il a l'autorisation globale. Si vous ne modifiez pas l'autorisation globale, vous ne pouvez pas restreindre les privilèges.

Tableau 2. Les autorisations globales complètent les autorisations au niveau des balises

Autorisation globale

Autorisation au niveau des balises

Autorisation valable

Robin dispose des privilèges Supprimer une balise vSphere

Robin ne dispose pas des privilèges Supprimer une balise vSphere pour la balise.

Robin dispose des privilèges Supprimer une balise vSphere.

Aucun privilège de balisage accordé

Les privilèges Supprimer une balise vSphere ne sont pas attribués à Robin pour la balise.

Robin ne dispose pas des privilèges Supprimer une balise vSphere

Les autorisations au niveau des balises peuvent étendre les autorisations globales

Vous pouvez utiliser des autorisations au niveau des balises pour étendre les autorisations globales. Cela signifie que les utilisateurs peuvent avoir l'autorisation globale et l'autorisation au niveau des balises sur une balise.

Tableau 3. Les autorisations globales étendent les autorisations au niveau des balises

Autorisation globale

Autorisation au niveau des balises

Autorisation valable

Lee dispose du privilège Attribuer une balise vSphere ou en annuler l'attribution.

Lee dispose du privilège Supprimer une balise vSphere.

Lee dispose des privilèges Attribuer une balise vSphere et Supprimer une balise vSphere pour la balise.

Aucun privilège de balisage n'est accordé.

Le privilège Supprimer une balise vSphere est attribué à Lee pour la balise.

Lee dispose du privilège Supprimer une balise vSphere pour la balise.