Par défaut, un utilisateur avec le rôle Administrateur de vCenter Server peut interagir avec les fichiers et les applications au sein du système d'exploitation invité d'une machine virtuelle. Afin de réduire les risques d'atteinte à la confidentialité, la disponibilité et l'intégrité de l'invité, créez un rôle d'accès non-invité, dépourvu du privilège Opérations client. Attribuez ce rôle aux administrateurs qui n'ont pas besoin d'avoir accès aux fichiers de la machine virtuelle.

Pourquoi et quand exécuter cette tâche

Pour garantir la sécurité, appliquez les mêmes restrictions pour l'accès au centre de données virtuel que pour l'accès au centre de données physique. Appliquez un rôle personnalisé qui désactive l'accès invité aux utilisateurs qui ont besoin de privilèges d'administrateur mais qui ne sont pas autorisés à interagir avec les fichiers et les applications du système d'exploitation invité.

Prenons, par exemple, une configuration composée d'une machine virtuelle placée dans une infrastructure contenant des informations sensibles.

Si des tâches telles que la migration avec vMotion nécessitent que les administrateurs de centre de données puissent accéder à la machine virtuelle, désactivez certaines opérations sur le système d'exploitation invité afin que ces administrateurs ne puissent pas accéder aux informations sensibles.

Préambules

Vérifiez que vous avez les privilèges Administrateur sur le système vCenter Server sur lequel vous créez le rôle.

Procédure

  1. Connectez-vous à vSphere Web Client en tant qu'utilisateur possédant des privilèges Administrateur sur le système vCenter Server sur lequel vous créez le rôle.
  2. Cliquez sur Administration et sélectionnez Rôles.
  3. Cliquez sur l'icône Créer une action de rôle et tapez le nom que vous souhaitez attribuer au rôle.

    Par exemple, entrez Accès non-invité administrateur.

  4. Sélectionnez Tous les privilèges.
  5. Désélectionnez Tous les privilèges > Machine virtuelle > Systèmes invités pour supprimer l'ensemble des privilèges pour les opérations sur les systèmes invités.
  6. Cliquez sur OK.

Que faire ensuite

Sélectionnez le système vCenter Server ou l'hôte et attribuez une autorisation qui couple l'utilisateur ou le groupe requérant les nouveaux privilèges avec le rôle que vous venez de créer. Supprimez ces utilisateurs du rôle Administrateur.