Utilisation des rôles vCenter Server pour attribuer des privilèges

Dans vCenter Server, un rôle est un ensemble prédéfini de privilèges qui définit les droits d'exécution d'actions et les propriétés de lecture. Vous créez des autorisations en attribuant un rôle à un utilisateur ou à un groupe pour un objet. vCenter Server fournit les rôles système et les exemples de rôles par défaut. Vous pouvez également créer des rôles personnalisés.

Attribuer des autorisations dans vCenter Server

Lorsque vous attribuez des autorisations dans vCenter Server, vous couplez un utilisateur ou un groupe avec un rôle et associez ce couplage à un objet d'inventaire. Par exemple, vous pouvez utiliser l'exemple de rôle Utilisateur de machine virtuelle pour autoriser un utilisateur à lire et à modifier les attributs de machines virtuelles.

Un utilisateur ou groupe peut avoir différents rôles pour différents objets de l'inventaire. Par exemple, supposez que votre inventaire comprend deux pools de ressources, le pool A et le pool B. Vous pouvez attribuer au groupe Ventes l'exemple de rôle Utilisateur de machine virtuelle sur le pool A et le rôle Lecture seule sur le pool B. Ainsi, les utilisateurs du groupe Ventes peuvent démarrer les machines virtuelles du pool A, mais uniquement afficher les machines virtuelles du pool B.

Les utilisateurs ne peuvent planifier des tâches que si leurs rôles leur donnent des privilèges suffisants pour réaliser ces tâches au moment de leur création.

Quels sont les rôles vCenter Server prédéfinis ?

vCenter Server fournit des rôles prédéfinis, comme le montre le tableau suivant.

Tableau 1. Rôles vCenter Server prédéfinis
Type de rôle	Noms des rôles	Description
Système	Administrateur, Lecture seule et Aucun accès.	Les rôles système sont permanents. Vous ne pouvez pas supprimer des rôles système ni modifier les privilèges associés à ces rôles. Les rôles système sont organisés en hiérarchie. Chaque rôle hérite des privilèges du rôle précédent. Par exemple, le rôle Administrateur hérite des privilèges du rôle Lecture seule. Pour plus d'informations sur les rôles système, reportez-vous à la section suivante.
Exemple	vSphere fournit un certain nombre d'exemples de rôles, par exemple, AutoUpdateUser, Administrateur de pool de ressources et Utilisateur de machine virtuelle.	vSphere fournit des exemples de rôles pour certaines combinaisons de tâches réalisées fréquemment. Vous pouvez cloner, modifier ou supprimer ces rôles. Note : Pour éviter de perdre les paramètres prédéfinis dans un exemple de rôle, clonez d'abord le rôle, puis modifiez le clone. Vous ne pouvez pas rétablir les paramètres par défaut de l'exemple.

Pour afficher les privilèges associés à un rôle, accédez au rôle dans vSphere Client (Menu > Administration > Rôles) et cliquez sur l'onglet Privilèges.

Pour afficher l'ensemble des privilèges et descriptions de vSphere, consultez la section Privilèges définis.

Note : Les modifications apportées aux rôles et aux privilèges prennent effet immédiatement, même si les utilisateurs impliqués sont connectés. Les recherches font toutefois exception : pour celles-ci, les modifications entrent en vigueur une fois que l'utilisateur s'est déconnecté, puis reconnecté.

Rôles système de vCenter Server

Vous ne pouvez pas modifier ou supprimer les rôles système.

Rôle d'administrateur: Les utilisateurs qui ont le rôle Administrateur pour un objet sont autorisés à afficher et à exécuter toutes les actions sur cet objet. Ce rôle comprend également tous les privilèges du rôle Lecture seule. Si vous disposez du rôle Administrateur sur un objet, vous pouvez attribuer des privilèges à des utilisateurs individuels ou à des groupes.; Si vous disposez du rôle d'administrateur dans vCenter Server, vous pouvez attribuer des privilèges à des utilisateurs et des groupes dans la source d'identité vCenter Single Sign-On par défaut. Reportez-vous à la documentation Authentification vSphere pour les services d'identité pris en charge.; Par défaut, l'utilisateur [email protected] a le rôle d'administrateur sur vCenter Single Sign-On et vCenter Server après l'installation. Cet utilisateur peut ensuite associer d'autres utilisateurs disposant du rôle d'administrateur dans vCenter Server.
Info-bulle : La meilleure pratique consiste à créer un utilisateur au niveau racine et à lui attribuer le rôle Administrateur. Après avoir créé un utilisateur nommé ayant les privilèges Administrateur, vous ne pouvez pas supprimer l'utilisateur racine des autorisations ni remplacer son rôle par le rôle Aucun accès.
Rôle Lecture seule: Les utilisateurs qui ont le rôle Lecture seule pour un objet sont autorisés à afficher l'état et les détails de l'objet. Par exemple, les utilisateurs ayant ce rôle peuvent afficher la machine virtuelle, l'hôte et les attributs du pool de ressources, mais ne peuvent pas afficher la console distante d'un hôte. Toutes les actions via les menus et barres d'outils ne sont pas autorisées.
Rôle Aucun accès: Les utilisateurs qui ont le rôle Aucun accès pour un objet ne peuvent en aucun cas afficher ou modifier l'objet. Les nouveaux utilisateurs et groupes sont assignés à ce rôle par défaut. Vous pouvez modifier le rôle par objet.; Le rôle Administrateur est attribué par défaut à l'administrateur du domaine vCenter Single Sign-On (par défaut [email protected]) ainsi qu'aux utilisateurs racine et vpxuser. Le rôle Aucun accès est attribué par défaut aux autres utilisateurs.

Rôles personnalisés dans vCenter Server et ESXi

Vous pouvez créer des rôles personnalisés pour vCenter Server et tous les objets qu'il gère, ou pour des hôtes individuels.

Rôles personnalisés de vCenter Server (recommandé): Créez des rôles personnalisés à l'aide des fonctionnalités de modification de rôles de vSphere Client afin de créer des ensembles de privilèges répondant spécifiquement à vos besoins.
Rôles personnalisés d' ESXi: Vous pouvez créer des rôles personnalisés pour des hôtes individuels en utilisant une interface de ligne de commande ou VMware Host Client. Consultez la documentation de Gestion individuelle des hôtes vSphere - VMware Host Client. Les rôles d'hôtes personnalisés ne sont pas accessibles à partir de vCenter Server.; Si vous gérez des hôtes ESXi via vCenter Server, ne conservez pas de rôles personnalisés dans l'hôte et dans vCenter Server. Définissez les rôles au niveau de vCenter Server.

Lorsque vous gérez un hôte à l'aide de vCenter Server, les autorisations associées à cet hôte sont créées via vCenter Server et stockées dans vCenter Server. Si vous vous connectez directement à un hôte, seuls les rôles créés directement sur l'hôte sont disponibles.

Note : Lorsque vous ajoutez un rôle personnalisé auquel vous n'attribuez aucun privilège, le rôle est créé comme un rôle Lecture seule avec trois privilèges définis par le système : Système.Anonyme, Système.Affichage et Système.Lecture. Ces privilèges ne sont pas visibles dans l'instance de vSphere Client, mais sont utilisés pour lire certaines propriétés de certains objets gérés. Tous les rôles prédéfinis dans vCenter Server contiennent ces trois privilèges définis par le système. Pour plus d'informations, reportez-vous à la documentation de l' API vSphere Web Services.

Créer un rôle personnalisé vCenter Server

Pour répondre aux besoins de contrôle d'accès de votre environnement, vous pouvez créer des rôles personnalisés vCenter Server. Vous pouvez créer un rôle ou cloner un rôle existant.

Vous pouvez créer ou modifier un rôle sur un système vCenter Server qui fait partie du même domaine vCenter Single Sign-On que les autres systèmes vCenter Server. VMware Directory Service (vmdir) propage les modifications de rôle que vous apportez à tous les autres systèmes vCenter Server dans le groupe. Cependant, les attributions de rôles à des utilisateurs et objets spécifiques ne sont pas partagées entre les systèmes vCenter Server.

Conditions préalables

Vérifiez que vous disposez des privilèges Administrateur sur le système vCenter Server sur lequel vous créez le rôle.

Procédure

Connectez-vous à vCenter Server en utilisant vSphere Client.
Sélectionnez Administration et cliquez sur Rôles dans la zone Contrôle d'accès.

Créez le rôle.

Option	Description
Pour créer un rôle	Cliquez sur Nouveau. Entrez le nom du nouveau rôle. Sélectionnez et désélectionnez les privilèges du rôle. Faites défiler les catégories de privilèges et sélectionnez tous les privilèges ou un sous-ensemble de privilèges pour cette catégorie. Vous pouvez afficher toutes les catégories, les catégories sélectionnées ou celles non sélectionnées. Vous pouvez également afficher tous les privilèges, les privilèges sélectionnés ou ceux non sélectionnés. Consultez Privilèges définis pour plus d'informations. Cliquez sur Créer.
Pour créer un rôle par clonage :	Sélectionnez un rôle et cliquez sur Cloner. Entrez un nom pour le rôle. Cliquez sur OK. Note : Lors de la création d'un rôle cloné, vous ne pouvez pas modifier les privilèges. Pour modifier les privilèges, sélectionnez le rôle cloné et cliquez sur Modifier.

Option

Description

Pour créer un rôle

Cliquez sur Nouveau.
Entrez le nom du nouveau rôle.
Sélectionnez et désélectionnez les privilèges du rôle.
Faites défiler les catégories de privilèges et sélectionnez tous les privilèges ou un sous-ensemble de privilèges pour cette catégorie. Vous pouvez afficher toutes les catégories, les catégories sélectionnées ou celles non sélectionnées. Vous pouvez également afficher tous les privilèges, les privilèges sélectionnés ou ceux non sélectionnés. Consultez Privilèges définis pour plus d'informations.
Cliquez sur Créer.

Pour créer un rôle par clonage :

Sélectionnez un rôle et cliquez sur Cloner.
Entrez un nom pour le rôle.
Cliquez sur OK.

Note : Lors de la création d'un rôle cloné, vous ne pouvez pas modifier les privilèges. Pour modifier les privilèges, sélectionnez le rôle cloné et cliquez sur Modifier.

Que faire ensuite

Vous pouvez créer des autorisations en sélectionnant un objet et en attribuant le rôle à un utilisateur ou à un groupe pour cet objet.