Utilizzo dei ruoli vCenter Server per assegnare privilegi

In vCenter Server, un ruolo è un insieme predefinito di privilegi che definisce i diritti di eseguire azioni e leggere proprietà. È possibile creare autorizzazioni assegnando un ruolo a un utente o gruppo per un oggetto. Per impostazione predefinita, vCenter Server fornisce ruoli di sistema e ruoli di esempio. È inoltre possibile creare ruoli personalizzati.

Assegnazione di autorizzazioni in vCenter Server

Quando si assegnano autorizzazioni in vCenter Server, si abbina un utente o un gruppo a un ruolo e si associa tale abbinamento a un oggetto di inventario. Ad esempio, è possibile utilizzare il ruolo campione Utente macchina virtuale per consentire a un utente di leggere e modificare gli attributi della macchina virtuale.

Un singolo utente o gruppo può avere ruoli diversi per oggetti diversi nell'inventario. Si supponga ad esempio che nell'inventario siano presenti due pool di risorse, ovvero Pool A e Pool B. È possibile assegnare al gruppo Vendite il ruolo campione Utente macchina virtuale per il Pool A e il ruolo Sola lettura per il Pool B. Con queste assegnazioni, gli utenti del gruppo Vendite possono attivare le macchine virtuali nel Pool A, ma possono solo visualizzare le macchine virtuali nel Pool B.

Gli utenti possono pianificare le attività solo se dispongono di un ruolo che include i privilegi per eseguire tale attività al momento della sua creazione.

Quali sono i ruoli vCenter Server predefiniti?

vCenter Server fornisce ruoli predefiniti, come mostrato nella tabella seguente.

Tabella 1. Ruoli vCenter Server predefiniti
Tipo di ruolo	Nomi del ruolo	Descrizione
Sistema	Amministratore, Sola lettura e Nessun accesso.	I ruoli di sistema sono permanenti. Non è possibile eliminare ruoli di sistema né modificare i privilegi associati a tali ruoli. I ruoli di sistema sono organizzati in una gerarchia. Ciascun ruolo eredita i privilegi del ruolo precedente. Ad esempio, il ruolo Amministratore eredita i privilegi del ruolo Sola lettura. Vedere la sezione seguente per ulteriori dettagli sui ruoli di sistema.
Campione	vSphere fornisce una serie di ruoli campione, ad esempio AutoUpdateUser, Amministratore del pool di risorse e Utente macchina virtuale.	vSphere fornisce ruoli di esempio per determinate combinazioni di attività eseguite di frequente. È possibile clonare, modificare o rimuovere questi ruoli. Nota: Per evitare di perdere le impostazioni predefinite in un ruolo di esempio, clonare il ruolo e apportare modifiche al clone. Non è possibile ripristinare le impostazioni predefinite dell'esempio.

Per visualizzare i privilegi associati a un ruolo, passare al ruolo in vSphere Client (Menu > Amministrazione > Ruoli) e fare clic sulla scheda Privilegi.

Per visualizzare tutti i privilegi e le descrizioni di vSphere, vedere Privilegi definiti.

Nota: Le modifiche ai ruoli e ai privilegi vengono applicate immediatamente, anche se gli utenti coinvolti sono connessi. Fanno eccezione le ricerche in cui le modifiche diventano effettive dopo che l'utente si disconnette e si connette nuovamente.

Ruoli di sistema di vCenter Server

I ruoli di sistema non possono essere modificati o eliminati.

Ruolo Amministratore: Gli utenti con ruolo Amministratore per un oggetto possono visualizzare ed eseguire tutte le azioni relative a tale oggetto. Questo ruolo include anche tutti i privilegi del ruolo Sola lettura. Se si dispone del ruolo Amministratore per un oggetto, è possibile assegnare privilegi a singoli utenti e gruppi.; Se si opera con il ruolo Amministratore in vCenter Server, è possibile assegnare privilegi a utenti e gruppi nell'origine di identità predefinita di vCenter Single Sign-On. Per informazioni sui servizi di identità supportati, vedere la documentazione Autenticazione di vSphere.; Per impostazione predefinita, l'utente [email protected] ha il ruolo Amministratore sia per vCenter Single Sign-On sia per vCenter Server dopo l'installazione. Tale utente può quindi associare altri utenti al ruolo Amministratore in vCenter Server.
Suggerimento: La procedura consigliata consiste nel creare un utente al livello root e assegnare il ruolo Amministratore a tale utente. Dopo aver creato un utente denominato con privilegi di Amministratore, è possibile rimuovere l'utente root da qualsiasi autorizzazione o modificarne il ruolo impostandolo su Nessun accesso.
Ruolo Sola lettura: Gli utenti con il ruolo Sola lettura per un oggetto possono visualizzare lo stato e i dettagli dell'oggetto. Ad esempio, gli utenti con questo ruolo possono visualizzare gli attributi della macchina virtuale, dell'host e del pool di risorse, ma non possono visualizzare la console remota di un host. Tutte le azioni tramite i menu e le barre degli strumenti non sono consentite.
Ruolo Nessun accesso: Gli utenti con il ruolo Nessun accesso per un oggetto non possono visualizzare o modificare l'oggetto in alcun modo. Ai nuovi utenti e gruppi viene assegnato questo ruolo per impostazione predefinita. È possibile modificare il ruolo in base a ogni singolo oggetto.; All'amministratore del dominio di vCenter Single Sign-On, [email protected] per impostazione predefinita, all'utente root e a vpxuser viene assegnato il ruolo Amministratore per impostazione predefinita. Agli altri utenti viene assegnato il ruolo Nessun accesso per impostazione predefinita.

Ruoli personalizzati in vCenter Server ed ESXi

È possibile creare ruoli personalizzati per vCenter Server e tutti gli oggetti che gestisce oppure per i singoli host.

Ruoli personalizzati di vCenter Server (scelta consigliata): Creare ruoli personalizzati utilizzando le funzionalità di modifica dei ruoli in vSphere Client per creare set di privilegi in base alle proprie esigenze.
Ruoli personalizzati di ESXi: È possibile creare ruoli personalizzati per singoli host utilizzando CLI o VMware Host Client. Vedere la documentazione di Gestione di un singolo host di vSphere - VMware Host Client. I ruoli dell'host personalizzati non sono accessibili da vCenter Server.; Se si gestiscono host ESXi tramite vCenter Server, non mantenere i ruoli personalizzati sia nell'host sia in vCenter Server. Definire i ruoli a livello di vCenter Server.

Quando si gestisce un host utilizzando vCenter Server, le autorizzazioni associate a tale host vengono create tramite vCenter Server e archiviate in vCenter Server. Se ci si connette direttamente a un host, sono disponibili solo i ruoli creati direttamente nell'host.

Nota: Quando si aggiunge un ruolo personalizzato senza assegnargli alcun privilegio, il ruolo viene creato come ruolo di Sola lettura con tre privilegi definiti dal sistema: Sistema.Anonimo, Sistema.Visualizza e Sistema.Lettura. Questi privilegi non sono visibili in vSphere Client, ma vengono utilizzati per leggere determinate proprietà di alcuni oggetti gestiti. Tutti i ruoli predefiniti in vCenter Server contengono questi tre privilegi definiti dal sistema. Per ulteriori informazioni, vedere la documentazione di vSphere Web Services API.

Creazione di un ruolo personalizzato di vCenter Server

Per soddisfare le esigenze di controllo degli accessi del proprio ambiente, è possibile creare ruoli vCenter Server personalizzati. È possibile creare un ruolo o clonarne uno esistente.

È possibile creare o modificare un ruolo in un sistema vCenter Server che fa parte dello stesso dominio vCenter Single Sign-On di altri sistemi vCenter Server. Il servizio directory VMware (vmdir) propaga le modifiche al ruolo apportate in tutti gli altri sistemi vCenter Server nel gruppo. Le assegnazioni di ruoli a utenti e oggetti specifici non vengono condivise tra sistemi vCenter Server.

Prerequisiti

Verificare di disporre di privilegi di amministratore sul sistema vCenter Server in cui si crea il ruolo.

Procedura

Accedere a vCenter Server utilizzando vSphere Client.
Selezionare Amministrazione e fare clic su Ruoli nell'area Controllo degli accessi.

Creare il ruolo.

Opzione	Descrizione
Per creare un ruolo	Fare clic su Nuovo. Immettere un nome per il nuovo ruolo. Selezionare e deselezionare i privilegi per il ruolo. Scorrere le categorie di privilegi e selezionare tutti i privilegi o un sottoinsieme di privilegi per tale categoria. È possibile visualizzare tutte le categorie, oppure quelle selezionate o deselezionate. È inoltre possibile visualizzare tutti i privilegi, oppure quelli selezionati o deselezionati. Vedere Privilegi definiti per ulteriori informazioni. Fare clic su Crea.
Per creare il ruolo mediante clonazione	Selezionare un ruolo e fare clic su Clona. Immettere un nome per il ruolo. Fare clic su OK. Nota: Quando si crea un ruolo clonato, non è possibile modificare i privilegi. Per modificare i privilegi, selezionare il ruolo clonato e fare clic su Modifica.

Opzione

Descrizione

Per creare un ruolo

Fare clic su Nuovo.
Immettere un nome per il nuovo ruolo.
Selezionare e deselezionare i privilegi per il ruolo.
Scorrere le categorie di privilegi e selezionare tutti i privilegi o un sottoinsieme di privilegi per tale categoria. È possibile visualizzare tutte le categorie, oppure quelle selezionate o deselezionate. È inoltre possibile visualizzare tutti i privilegi, oppure quelli selezionati o deselezionati. Vedere Privilegi definiti per ulteriori informazioni.
Fare clic su Crea.

Per creare il ruolo mediante clonazione

Selezionare un ruolo e fare clic su Clona.
Immettere un nome per il ruolo.
Fare clic su OK.

Nota: Quando si crea un ruolo clonato, non è possibile modificare i privilegi. Per modificare i privilegi, selezionare il ruolo clonato e fare clic su Modifica.

Operazioni successive

Sarà ora possibile creare le autorizzazioni selezionando un oggetto e assegnando il ruolo a un utente o a un gruppo per tale oggetto.