Dans vCenter Server, un rôle est un ensemble prédéfini de privilèges qui définit les droits d'exécution d'actions et les propriétés de lecture. Vous créez des autorisations en attribuant un rôle à un utilisateur ou à un groupe pour un objet. vCenter Server fournit les rôles système et les exemples de rôles par défaut. Vous pouvez également créer des rôles personnalisés.
Attribuer des autorisations dans vCenter Server
Lorsque vous attribuez des autorisations dans vCenter Server, vous couplez un utilisateur ou un groupe avec un rôle et associez ce couplage à un objet d'inventaire. Par exemple, vous pouvez utiliser l'exemple de rôle Utilisateur de machine virtuelle pour autoriser un utilisateur à lire et à modifier les attributs de machines virtuelles.
Un utilisateur ou groupe peut avoir différents rôles pour différents objets de l'inventaire. Par exemple, supposez que votre inventaire comprend deux pools de ressources, le pool A et le pool B. Vous pouvez attribuer au groupe Ventes l'exemple de rôle Utilisateur de machine virtuelle sur le pool A et le rôle Lecture seule sur le pool B. Ainsi, les utilisateurs du groupe Ventes peuvent démarrer les machines virtuelles du pool A, mais uniquement afficher les machines virtuelles du pool B.
Les utilisateurs ne peuvent planifier des tâches que si leurs rôles leur donnent des privilèges suffisants pour réaliser ces tâches au moment de leur création.
Quels sont les rôles vCenter Server prédéfinis ?
vCenter Server fournit des rôles prédéfinis, comme le montre le tableau suivant.
Type de rôle | Noms des rôles | Description |
---|---|---|
Système | Administrateur, Lecture seule et Aucun accès. | Les rôles système sont permanents. Vous ne pouvez pas supprimer des rôles système ni modifier les privilèges associés à ces rôles. Les rôles système sont organisés en hiérarchie. Chaque rôle hérite des privilèges du rôle précédent. Par exemple, le rôle Administrateur hérite des privilèges du rôle Lecture seule. Pour plus d'informations sur les rôles système, reportez-vous à la section suivante. |
Exemple | vSphere fournit un certain nombre d'exemples de rôles, par exemple, AutoUpdateUser, Administrateur de pool de ressources et Utilisateur de machine virtuelle. | vSphere fournit des exemples de rôles pour certaines combinaisons de tâches réalisées fréquemment. Vous pouvez cloner, modifier ou supprimer ces rôles.
Note : Pour éviter de perdre les paramètres prédéfinis dans un exemple de rôle, clonez d'abord le rôle, puis modifiez le clone. Vous ne pouvez pas rétablir les paramètres par défaut de l'exemple.
|
Pour afficher les privilèges associés à un rôle, accédez au rôle dans vSphere Client (Privilèges.
) et cliquez sur l'ongletPour afficher l'ensemble des privilèges et descriptions de vSphere, consultez la section Privilèges définis.
Rôles système de vCenter Server
Vous ne pouvez pas modifier ou supprimer les rôles système.
- Rôle d'administrateur
- Les utilisateurs qui ont le rôle Administrateur pour un objet sont autorisés à afficher et à exécuter toutes les actions sur cet objet. Ce rôle comprend également tous les privilèges du rôle Lecture seule. Si vous disposez du rôle Administrateur sur un objet, vous pouvez attribuer des privilèges à des utilisateurs individuels ou à des groupes.
- Rôle Lecture seule
- Les utilisateurs qui ont le rôle Lecture seule pour un objet sont autorisés à afficher l'état et les détails de l'objet. Par exemple, les utilisateurs ayant ce rôle peuvent afficher la machine virtuelle, l'hôte et les attributs du pool de ressources, mais ne peuvent pas afficher la console distante d'un hôte. Toutes les actions via les menus et barres d'outils ne sont pas autorisées.
- Rôle Aucun accès
- Les utilisateurs qui ont le rôle Aucun accès pour un objet ne peuvent en aucun cas afficher ou modifier l'objet. Les nouveaux utilisateurs et groupes sont assignés à ce rôle par défaut. Vous pouvez modifier le rôle par objet.
Rôles personnalisés dans vCenter Server et ESXi
- Rôles personnalisés de vCenter Server (recommandé)
- Créez des rôles personnalisés à l'aide des fonctionnalités de modification de rôles de vSphere Client afin de créer des ensembles de privilèges répondant spécifiquement à vos besoins.
- Rôles personnalisés d' ESXi
- Vous pouvez créer des rôles personnalisés pour des hôtes individuels en utilisant une interface de ligne de commande ou VMware Host Client. Consultez la documentation de Gestion individuelle des hôtes vSphere - VMware Host Client. Les rôles d'hôtes personnalisés ne sont pas accessibles à partir de vCenter Server.
Créer un rôle personnalisé vCenter Server
Pour répondre aux besoins de contrôle d'accès de votre environnement, vous pouvez créer des rôles personnalisés vCenter Server. Vous pouvez créer un rôle ou cloner un rôle existant.
Vous pouvez créer ou modifier un rôle sur un système vCenter Server qui fait partie du même domaine vCenter Single Sign-On que les autres systèmes vCenter Server. VMware Directory Service (vmdir) propage les modifications de rôle que vous apportez à tous les autres systèmes vCenter Server dans le groupe. Cependant, les attributions de rôles à des utilisateurs et objets spécifiques ne sont pas partagées entre les systèmes vCenter Server.
Conditions préalables
Procédure
- Connectez-vous à vCenter Server en utilisant vSphere Client.
- Sélectionnez Administration et cliquez sur Rôles dans la zone Contrôle d'accès.
- Créez le rôle.
Option Description Pour créer un rôle - Cliquez sur Nouveau.
- Entrez le nom du nouveau rôle.
- Sélectionnez et désélectionnez les privilèges du rôle.
Faites défiler les catégories de privilèges et sélectionnez tous les privilèges ou un sous-ensemble de privilèges pour cette catégorie. Vous pouvez afficher toutes les catégories, les catégories sélectionnées ou celles non sélectionnées. Vous pouvez également afficher tous les privilèges, les privilèges sélectionnés ou ceux non sélectionnés. Consultez Privilèges définis pour plus d'informations.
- Cliquez sur Créer.
Pour créer un rôle par clonage : - Sélectionnez un rôle et cliquez sur Cloner.
- Entrez un nom pour le rôle.
- Cliquez sur OK.
Note : Lors de la création d'un rôle cloné, vous ne pouvez pas modifier les privilèges. Pour modifier les privilèges, sélectionnez le rôle cloné et cliquez sur Modifier.
Que faire ensuite
Vous pouvez créer des autorisations en sélectionnant un objet et en attribuant le rôle à un utilisateur ou à un groupe pour cet objet.