Seguire le procedure consigliate per i ruoli e le autorizzazioni per aumentare il livello di sicurezza e facilità di gestione dell'ambiente vCenter Server.
Durante la configurazione di ruoli e autorizzazioni nell'ambiente vCenter Server, attenersi alle seguenti procedure consigliate:
- Ove possibile, assegnare un ruolo a un gruppo anziché a singoli utenti.
- Concedere le autorizzazioni solo per gli oggetti che realmente le necessitano e assegnare i privilegi soltanto agli utenti e ai gruppi pertinenti. Utilizzare il numero minimo di autorizzazioni per semplificare la comprensione e la gestione della struttura delle autorizzazioni.
- Se si assegna un ruolo restrittivo a un gruppo, verificare che il gruppo non contenga l'utente amministratore o altri utenti con privilegi amministrativi. In caso contrario, i privilegi dell'amministratore potrebbero risultare involontariamente compromessi per le parti della gerarchia dell'inventario in cui è stato assegnato il ruolo restrittivo a tale gruppo.
- Raggruppare gli oggetti in cartelle per semplificare l'assegnazione delle autorizzazioni. Ad esempio, per concedere l'autorizzazione di modifica su un set di host e visualizzare le autorizzazioni su un altro set di host, posizionare ciascun set di host in una cartella.
- Quando si aggiunge un'autorizzazione per gli oggetti root di vCenter Server, prestare la massima attenzione. Gli utenti con privilegi a livello root hanno dispongono dell'accesso ai dati globali su vCenter Server, ad esempio ruoli, attributi personalizzati e impostazioni di vCenter Server.
- È consigliabile abilitare la propagazione quando si assegnano autorizzazioni a un oggetto. La propagazione garantisce che i nuovi oggetti nella gerarchia degli oggetti ereditino le autorizzazioni. Ad esempio, è possibile assegnare un'autorizzazione a una cartella di una macchina virtuale e abilitare la propagazione per garantire che l'autorizzazione venga applicata a tutte le macchine virtuali nella cartella.
- Utilizzare il ruolo Nessun accesso per mascherare aree specifiche della gerarchia. Il ruolo Nessun accesso limita l'accesso agli utenti o ai gruppi con tale ruolo. Tuttavia, nel caso di macchine virtuali e vAPP, sono presenti due catene di propagazione delle autorizzazioni. L'assegnazione di un'autorizzazione di propagazione con ruolo Nessun accesso in una delle catene non implica che alla rispettiva vApp o macchina virtuale non siano stati propagati privilegi.
- Le modifiche apportate alle licenze si propagano a tutti i sistemi vCenter Server collegati nello stesso dominio vCenter Single Sign-On.
- La propagazione della licenza si verifica anche se l'utente non dispone di privilegi su tutti i sistemi vCenter Server.