Dans vCenter Server, les autorisations globales sont appliquées à un objet racine global qui peut couvrir plusieurs solutions VMware. Dans un SDDC sur site, les autorisations globales peuvent s'étendre à la fois à vCenter Server et à VMware Aria Automation Orchestrator. Toutefois, pour un SDDC vSphere, les autorisations globales s'appliquent aux objets globaux tels que les balises et les bibliothèques de contenu.
Vous pouvez attribuer des autorisations globales à des utilisateurs ou des groupes et choisir le rôle de chaque utilisateur ou de chaque groupe. Le rôle détermine l'ensemble de privilèges attribués à l'utilisateur ou au groupe pour tous les objets de la hiérarchie. Vous pouvez attribuer un rôle prédéfini ou créer des rôles personnalisés. Reportez-vous à la section Utilisation des rôles vCenter Server pour attribuer des privilèges.
Il est important de faire la distinction entre les autorisations vCenter Server et les autorisations globales.
Type d'autorisation | Description |
---|---|
vCenter Server | Les autorisations vCenter Server s'appliquent à des objets spécifiques dans la hiérarchie d'inventaire, tels que les hôtes, les machines virtuelles, les banques de données, etc. Lorsque vous attribuez des autorisations vCenter Server, vous spécifiez qu'un utilisateur ou un groupe dispose d'un rôle (ensemble de privilèges) sur l'objet. |
Global | Les autorisations globales donnent à un utilisateur ou à un groupe des privilèges pour afficher ou gérer tous les objets dans chacune des hiérarchies d'inventaire de votre déploiement. Les autorisations globales s'appliquent également aux objets globaux tels que les balises et les bibliothèques de contenu. Reportez-vous à la section Autorisations vCenter Server sur les objets de balise. Si vous attribuez une autorisation globale sans sélectionner l'option Propager, les utilisateurs ou les groupes associés à cette autorisation n'ont pas accès aux objets de la hiérarchie. Ils n'ont accès qu'à certaines fonctions globales telles que la création de rôles. |
Ajouter une autorisation globale
Vous pouvez utiliser les autorisations globales pour accorder à un utilisateur ou à un groupe des privilèges pour tous les objets dans l'ensemble des hiérarchies d'inventaire de votre déploiement.
Conditions préalables
Pour effectuer cette tâche, vous devez disposer des privilèges
sur l'objet racine de l'ensemble des hiérarchies d'inventaire.Procédure
Autorisations vCenter Server sur les objets de balise
Dans la hiérarchie d'objets de vCenter Server, les objets de balise ne sont pas des enfants de vCenter Server mais sont créés au niveau supérieur de vCenter Server. Dans les environnements avec plusieurs instances de vCenter Server, les objets de balise sont partagés entre les instances de vCenter Server. Dans la hiérarchie d'objets de vCenter Server, les autorisations pour les objets de balise fonctionnent différemment des autorisations pour les autres objets.
Seules les autorisations globales ou attribuées à l'objet de balise s'appliquent
Si vous accordez des autorisations à un utilisateur sur un objet d'inventaire de vCenter Server, tel qu'une machine virtuelle, cet utilisateur peut effectuer les tâches associées à l'autorisation. Toutefois, l'utilisateur ne peut pas effectuer d'opérations liées aux balises sur l'objet.
Autorisation globale | Autorisation au niveau des balises | vCenter Server Autorisation au niveau des objets | Autorisation valable |
---|---|---|---|
Aucun privilège de balisage n'est accordé. | Dana dispose des privilèges Attribuer une balise vSphere ou en annuler l'attribution pour la balise. | Dana dispose des privilèges Supprimer une balise vSphere sur le TPA de l'hôte ESXi. | Dana dispose des privilèges Attribuer une balise vSphere ou en annuler l'attribution pour la balise. |
Dana dispose des privilèges Attribuer une balise vSphere ou en annuler l'attribution. | Aucun privilège n'est attribué pour la balise. | Dana dispose des privilèges Supprimer une balise vSphere sur le TPA de l'hôte ESXi. | Dana dispose des privilèges globaux Attribuer une balise vSphere ou en annuler l'attribution. Ceci inclut des privilèges au niveau des balises. |
Aucun privilège de balisage n'est accordé. | Aucun privilège n'est attribué pour la balise. | Dana dispose des privilèges Attribuer une balise vSphere ou en annuler l'attribution sur le TPA de l'hôte ESXi. | Dana ne dispose des privilèges de balisage sur aucun objet, y compris le TPA de l'hôte. |
Les autorisations globales étendent les autorisations sur les objets de balise
Les autorisations globales, c'est-à-dire des autorisations qui sont attribuées sur l'objet de niveau supérieur, complètent les autorisations sur les objets de balise lorsque celles-ci sont trop restrictives. Les autorisations vCenter Server n'affectent pas les objets de balise.
Par exemple, supposons que vous attribuez le privilège Supprimer une balise vSphere à l'utilisateur Robin au niveau supérieur, en utilisant les autorisations globales. Pour la production de balises, vous n'attribuez pas le privilège Supprimer une balise vSphere à Robin. Dans ce cas, Robin dispose du privilège pour la production de balises, car il a l'autorisation globale, qui se propage depuis le niveau supérieur. Si vous ne modifiez pas l'autorisation globale, vous ne pouvez pas restreindre les privilèges.
Autorisation globale | Autorisation au niveau des balises | Autorisation valable |
---|---|---|
Robin dispose des privilèges Supprimer une balise vSphere | Robin ne dispose pas des privilèges Supprimer une balise vSphere pour la balise. | Robin dispose des privilèges Supprimer une balise vSphere. |
Aucun privilège de balisage accordé | Les privilèges Supprimer une balise vSphere ne sont pas attribués à Robin pour la balise. | Robin ne dispose pas des privilèges Supprimer une balise vSphere |
Les autorisations au niveau des balises peuvent étendre les autorisations globales
Vous pouvez utiliser des autorisations au niveau des balises pour étendre les autorisations globales. Cela signifie que les utilisateurs peuvent avoir l'autorisation globale et l'autorisation au niveau des balises sur une balise.
Autorisation globale | Autorisation au niveau des balises | Autorisation valable |
---|---|---|
Lee dispose du privilège Attribuer une balise vSphere ou en annuler l'attribution. | Lee dispose du privilège Supprimer une balise vSphere. | Lee dispose des privilèges Attribuer une balise vSphere et Supprimer une balise vSphere pour la balise. |
Aucun privilège de balisage n'est accordé. | Le privilège Supprimer une balise vSphere est attribué à Lee pour la balise. | Lee dispose du privilège Supprimer une balise vSphere pour la balise. |