Utilisez les meilleures pratiques pour les rôles et les autorisations afin de maximiser la sécurité et la gérabilité de votre environnement vCenter Server.

VMware recommande les meilleures pratiques suivantes lorsque vous configurez les rôles et les autorisations dans votre environnement vCenter Server :

  • Si possible, attribuez un rôle à un groupe plutôt qu'à des utilisateurs individuels.

  • Accordez des autorisations uniquement sur les objets lorsque cela est nécessaire et attribuez des privilèges uniquement aux utilisateurs ou aux groupes qui doivent en disposer. Utilisez un nombre minimal d'autorisations pour faciliter la compréhension et la gestion de votre structure d'autorisations.

  • Si vous assignez un rôle restrictif à un groupe, vérifiez que le groupes ne contient pas l'utilisateur d'administrateur ou d'autres utilisateurs avec des privilèges administratifs. Sinon, vous pourriez involontairement limiter les privilèges des administrateurs dans les parties de la hiérarchie d'inventaire où vous avez assigné à ce groupe le rôle restrictif.

  • Utilisez des dossiers pour grouper des objets. Par exemple, pour accorder une autorisation de modification sur un ensemble d'hôtes et afficher une autorisation sur un autre ensemble d'hôtes, placez chaque ensemble d'hôtes dans un dossier.

  • Soyez prudent lorsque vous ajoutez une autorisation aux objets vCenter Server racine. Les utilisateurs disposant de privilèges au niveau racine ont accès à des données globales sur vCenter Server, telles que les rôles, les attributs personnalisés et les paramètres vCenter Server.

  • Pensez à activer la propagation lorsque vous attribuez des autorisations à un objet. La propagation garantit que les nouveaux objets de la hiérarchie d'objets héritent des autorisations et sont accessibles aux utilisateurs.

  • Utilisez le rôle Aucun accès pour masquer des zones spécifiques de la hiérarchie. Le rôle Aucun accès restreint l'accès aux utilisateurs ou groupes avec ce rôle.

  • Les modifications apportées aux licences se propagent comme suit :

    • Pour tous les systèmes vCenter Server qui sont liés au même Platform Services Controller.

    • Pour les instances Platform Services Controller dans le même domaine vCenter Single Sign-On.

  • La propagation de licence s'effectue même si l'utilisateur ne dispose pas de privilèges sur tous les systèmes vCenter Server .