共有リカバリ サイトを使用するための権限の構成を Site Recovery Manager で行うことができます。共有リカバリ サイトの vCenter Server 管理者は、各ユーザーが Site Recovery Manager を構成して使用するための十分な権限を保有し、別のユーザーに属しているリソースにアクセスできないように権限を管理する必要があります。

共有リカバリ サイトでは、ユーザーは Site Recovery Manager Server インスタンスのペアの所有者を指します。適切な権限のあるユーザーは、共有リカバリ サイトにアクセスして、各自の保護サイトのリカバリ プランを作成、テスト、および実行できる必要があります。共有リカバリ サイトの vCenter Server 管理者は、ユーザーごとに個別のユーザー グループを作成する必要があります。ユーザーのユーザー アカウントを vCenter Server 管理者グループのメンバーにすることはできません。共有リカバリ サイトでは、1 つの組織がすべての保護サイトとリカバリ サイトを管理する構成のみがサポートされています。

注意: 特定の Site Recovery Manager ロールではユーザーが Site Recovery Manager Server でコマンドを実行できるため、これらのロールは信頼できる管理者レベルのユーザーのみに割り当てる必要があります。 Site Recovery Manager Server でコマンドを実行できる Site Recovery Manager ロールのリストについては、 Site Recovery Manager ロール リファレンス を参照してください。

共有リカバリ サイトでは、複数の顧客が単一の vCenter Server インスタンスを共有します。場合によっては、複数の顧客がリカバリ サイトで単一の ESXi ホストを共有することもあります。保護サイトのリソースは、共有リカバリ サイトの共有リソースにマッピングできます。たとえば、すべての顧客が同じ組織に属していて、各顧客の仮想マシンを個別に用意する必要がない場合は、リカバリ サイトのリソースを共有できます。

また、共有リカバリ サイトに隔離されたリソースを作成し、共有リカバリ サイトの各顧客専用のリソースに保護サイトのリソースをマッピングすることもできます。たとえば、すべての顧客が異なる組織に属していて各顧客の仮想マシンを個別に用意する必要がある場合は、この構成を使用できます。

ユーザーのリソースの共有に関するガイドライン

共有リカバリ サイトでユーザーのリソースを共有する権限を構成するときは、次のガイドラインに従ってください。

  • すべてのユーザーには、共有リカバリ サイトの vCenter Server のすべてのフォルダへの読み取りアクセス権が必要です。
  • データセンターまたはホストを名前変更、移動、または削除する権限をユーザーに付与しないでください。
  • ユーザー専用のフォルダとリソース プールの外部に仮想マシンを作成する権限をユーザーに付与しないでください。
  • ユーザー専用ではないオブジェクトのロールの変更や権限の割り当てをユーザーに許可しないでください。
  • 異なる組織のリソース間での望ましくない権限の伝達を避けるため、共有リカバリ サイト上の vCenter Server のルート フォルダ、データセンター、およびホストに対する権限を伝播しないでください。

ユーザーのリソースの隔離に関するガイドライン

共有リカバリ サイトでユーザーのリソースを隔離する権限を構成するときは、次のガイドラインに従ってください。

  • ユーザーごとに、vCenter Server インベントリ内の個別の仮想マシン フォルダを割り当てます。
    • このフォルダに対して、他のユーザーが仮想マシンを配置できないようにする権限を設定します。たとえば、管理者ロールを設定し、ユーザーのフォルダの伝播オプションをそのユーザーに対して有効にします。この構成によって、複数のユーザーが同じ名前の仮想マシンを保護する場合に発生する可能性がある名前の重複エラーを回避できます。
    • ユーザーのすべてのプレースホルダ仮想マシンをこのフォルダに配置して、権限を継承できるようにします。
    • 他のユーザーにこのフォルダへのアクセス権限を割り当てないでください。
  • 各ユーザーに専用のリソース プール、データストア、およびネットワークを割り当て、フォルダに対する権限の構成と同様に権限を構成します。
注意: ユーザーのリソースを隔離するためのデプロイは、vSphere サイト間の信頼を前提にしています。ユーザーのリソースは隔離できますが、ユーザー自体を隔離することはできません。すべてのユーザーを完全に隔離する必要がある場合、これは適切なデプロイではありません。

共有リカバリ サイト構成でのタスクとイベントの表示

vSphere Client の [最近のタスク] パネルで、オブジェクトの表示権限があるユーザーは、他のユーザーがそのオブジェクトで開始したタスクを表示できます。すべてのユーザーは、他のユーザーが共有リソースに対して実行するすべてのタスクを表示できます。たとえば、共有ホスト、データセンター、または vCenter Server ルート フォルダで実行されたタスクは、すべてのユーザーが表示できます。

Site Recovery Manager Server のすべてのインスタンスによって共有リカバリ サイトで生成されるイベントには、同じ権限が付与されています。Site Recovery Manager Server の 1 つのインスタンスによるイベントを表示できるすべてのユーザーは、共有リカバリ サイトで実行されているすべての Site Recovery Manager Server インスタンスによるイベントを表示できます。