Suivez les meilleures pratiques pour les rôles et les autorisations afin d'optimiser la sécurité et la facilité de gestion de votre environnement vCenter Server.
Suivez ces meilleures pratiques lorsque vous configurez les rôles et les autorisations dans votre environnement vCenter Server :
- Si possible, attribuez un rôle à un groupe plutôt qu'à des utilisateurs individuels.
- Accordez des autorisations uniquement sur les objets lorsque cela est nécessaire et attribuez des privilèges uniquement aux utilisateurs ou aux groupes qui doivent en disposer. Utilisez un nombre minimal d'autorisations pour faciliter la compréhension et la gestion de votre structure d'autorisations.
- Si vous assignez un rôle restrictif à un groupe, vérifiez que le groupes ne contient pas l'utilisateur d'administrateur ou d'autres utilisateurs avec des privilèges administratifs. Sinon, vous pourriez involontairement limiter les privilèges des administrateurs dans les parties de la hiérarchie d'inventaire dans lesquelles vous avez attribué le rôle restrictif à ce groupe.
- Regroupez les objets dans des dossiers pour faciliter l'attribution des autorisations. Par exemple, pour accorder l'autorisation de modification sur un ensemble d'hôtes et l'autorisation d'affichage sur un autre ensemble d'hôtes, placez chaque ensemble d'hôtes dans un dossier.
- Soyez prudent lorsque vous ajoutez une autorisation aux objets vCenter Server racine. Les utilisateurs disposant de privilèges au niveau racine ont accès à des données globales sur vCenter Server, telles que les rôles, les attributs personnalisés et les paramètres vCenter Server.
- Pensez à activer la propagation lorsque vous attribuez des autorisations à un objet. La propagation garantit que les nouveaux objets de la hiérarchie d'objets héritent des autorisations. Par exemple, vous pouvez attribuer une autorisation à un dossier de machine virtuelle et activer la propagation pour vous assurer que l'autorisation s'applique à toutes les machines virtuelles du dossier.
- Utilisez le rôle Aucun accès pour masquer des zones spécifiques de la hiérarchie. Le rôle Aucun accès restreint l'accès aux utilisateurs ou groupes avec ce rôle. Cependant, dans le cas des machines virtuelles et des vApp, il existe deux chaînes de propagation d'autorisations. L'attribution d'une autorisation propagée avec le rôle Aucun accès sur l'une des chaînes n'implique pas que le vApp ou la machine virtuelle respective n'aient aucun privilège qui lui soit propagé.
- Les modifications apportées aux licences se propagent à tous les systèmes vCenter Server du même domaine vCenter Single Sign-On.
- La propagation de licence s'effectue même si l'utilisateur ne dispose pas de privilèges sur tous les systèmes vCenter Server .