VMware Cloud Director Availability アプライアンスの root ユーザー アカウント

VMware Cloud Director Availability ユーザー

VMware Cloud Director Availability は、管理者ユーザーと一般ユーザーを区別します。

• VMware Cloud Director サイトでは、プロバイダは、VMware Cloud Director システム管理者ユーザーとして認証された後、VMware Cloud Director Availability オブジェクトとローカル VMware Cloud Director Availability アプライアンスを管理します。システム管理者ロールには、デフォルトで VMware Cloud Director に関するすべての権限が含まれています。そのロールに属するユーザーは、任意のローカル オブジェクトを管理し、任意のリモート VMware Cloud Director Availability インベントリ オブジェクトを監視できます。リモート サイトの VMware Cloud Director Availability オブジェクトを管理するには、リモート サイトにシステム管理者として認証します。

• テナントは、次のような認証を行った後、ディザスタ リカバリ操作を実行し、 VMware Cloud Director Availability オブジェクトを管理します。

  • vSphere DR および移行の場合、VRUSERS Single Sign-On ユーザーとして認証すると、テナントはローカル サイトでディザスタ リカバリ操作を実行したり、ローカル VMware Cloud Director Availability オブジェクトを管理したり、リモート VMware Cloud Director Availability オブジェクトを監視したりできます。

  • VMware Cloud Director サイトで、組織管理者ユーザーとして認証すると、テナントはローカル サイトでディザスタ リカバリ操作を実行したり、ローカル VMware Cloud Director Availability オブジェクトを管理したり、VMware Cloud Director 組織に属するリモート VMware Cloud Director Availability オブジェクトを監視したりできます。リモート VMware Cloud Director Availability オブジェクトを管理するには、組織管理者ユーザーとしてリモート サイトに認証します。

vSphere DR と移行の場合、VMware Cloud Director Availability は、vCenter Server Lookup service でのアプライアンスの構成中に、ローカル vCenter Server インスタンスに VRADMINISTRATORS と VRUSERS グループの両方を作成します。VMware Cloud Director サイトでは、VRUSERS グループは使用できません。VRADMINISTRATORS グループは、vCenter Server にカスタム権限が必要な場合にのみ手動で作成する必要があります。

VMware Cloud Director Availability 管理者の vSphere 権限

制限付き権利

vSphere DR および移行の場合、VMware Cloud Director Availability 4.5 以降では、システムへのアクセスが制限されている監視ユーザーを使用して、アプライアンス管理インターフェイスおよび vSphere プラグインにログインできます。制限されたユーザーは、レプリケーションもサービスも管理できません。

デプロイ後またはアップグレード後に、VMware Cloud Director Availability アプライアンスを vCenter Server Lookup service に登録すると、VrMonitoringUsers と VrMonitoringAdministrators の 2 つの新しい Single Sign-On グループが vSphere に作成されます。

これらのグループの監視専用権限を使用するには、新しい Single Sign-On ユーザーを作成し、次の 2 つのグループのいずれか 1 つのメンバーにします。

• VrMonitoringUsers メンバーシップにより、ユーザーはレプリケーションを監視できます。

• VrMonitoringAdministrators メンバーシップにより、管理者はレプリケーションとシステムの健全性を監視できます。

ユーザー権限には、最高のものから最低のものまで、 [読み取り/書き込み管理者] > [読み取り専用管理者] > [読み取り/書き込みユーザー] > [読み取り専用ユーザー] があります。

プロバイダまたはオンプレミスの管理者として、vCenter Server Lookup service を登録して VMware Cloud Director Availability を操作するユーザー アカウントのロールに最小限の権限を付与します。プロバイダとして、テナントが制限付きのインフラストラクチャ アイテムにアクセスできないようにするには、VMware Cloud Director Availability の監査証明書とセキュリティ コンプライアンスに指定されている次の最小限の権限リストのみを許可します。

サービス ユーザー アカウントに対してカスタマイズされた権限を使用する場合は、VMware Cloud Director Availability を操作し、これを vCenter Server Lookup service に登録するユーザーに次の権限を適用する必要があります。

VMware Cloud Director ロールの権利

VMware Cloud Director では、ユーザー権限のため、事前定義済みのグローバル テナント ロールおよびそこに含まれている権限がすべての組織に公開されます。システム管理者ユーザーは、個々の組織の権限とグローバル テナント ロールを変更できます。システム管理者ユーザーは、事前定義済みのグローバル テナント ロールを変更、作成、または削除できます。

詳細については、VMware Cloud Director ドキュメントのシステム管理者の権限および 事前定義済みのグローバル テナント ロールの権限を参照してください。

制限付き権利

VMware Cloud Director Availability 4.5 では、クラウド サイトの VMware Cloud Director に次の 2 つの権限が導入されています。

• VMware Cloud Director Availability のフル権限ユーザーの VCDA_MODIFY_RIGHT。
• VMware Cloud Director Availability の読み取り専用ユーザーの VCDA_VIEW_RIGHT。

クラウド サイトでこれらの新しい権限を使用するには、システム管理者ユーザーがまず VMware Cloud Director の権限バンドルで選択した権限を公開する必要があります。オンプレミス ユーザーが On-Premises to Cloud Director Replication Appliance にログインする場合、これらの権限は使用できません。

1. 既存の権限バンドルを作成または変更するには、VMware Cloud Director の [テナント アクセス コントロール] の左側のペインで [権限バンドル] をクリックし、[追加] をクリックするか、既存のバンドルを選択して [編集] をクリックします。
2. [権限バンドルの追加] ウィンドウの [バンドルの権限] で、[その他] カテゴリの下で権限を選択し、[保存] をクリックします。
   • [VCDA_VIEW_RIGHT]
   • [VCDA_MODIFY_RIGHT]
3. 権限バンドルをすべてのテナントまたは特定のテナントに公開するには、権限バンドルを選択して [公開] をクリックします。
4. [権限バンドルの公開] ウィンドウで、新しい権限バンドルを公開するテナントを選択し、[保存] をクリックします。
   • [テナントに公開]
   • [すべてのテナントに公開]

システム管理者が権限バンドルを 1 つ以上の組織に公開すると、これらの組織は、クラウド サイトの VMware Cloud Director Availability にアクセスするときにこれらの権限を使用できます。

読み取り/書き込み権限

VMware Cloud Director Availability では、 組織管理者ユーザー、またはロールに VCDA_MODIFY_RIGHT が割り当てられているユーザーに対する読み取り/書き込みアクセス権が許可されます。

読み取り専用権限

ユーザー インターフェイスでは、読み取り専用ユーザーに対して管理関連のすべてのアクションが非表示のままになります。ロールに VCDA_VIEW_RIGHT が割り当てられているテナント ユーザーは、自分のレプリケーションの表示のみに制限され、変更する権限はありません。

競合する権限

ユーザー ロールに競合する権限が割り当てられている場合（VCDA_READ_RIGHT と 組織管理者の両方）、予期される権限を決定すると、そのユーザーに対して読み取り/書き込みアクセス権が付与されます。同様に、VCDA_READ_RIGHT と VCDA_MODIFY_RIGHT の両方を同じユーザー ロールに割り当てる場合でも、読み取り/書き込みアクセス権が付与されます。

結果：

• 読み取り/書き込みユーザーは、カスタム ロールに VCDA_MODIFY_RIGHT を割り当てたり、デフォルトの組織管理者ユーザーを使用したりできます。
• 読み取り専用ユーザーがロールに VCDA_READ_RIGHT を割り当て済みです。
• VCDA_READ_RIGHT および（VCDA_MODIFY_RIGHT または組織管理者）のいずれかを同じロールに割り当てると、読み取り/書き込み権限になります。

Cloud Director Replication Management Appliance へのログインを許可するすべてのユーザーの権限リスト：

• 読み取り/書き込みテナント ユーザーは既存の組織管理者ユーザーと同じ権限を持ち、自分のレプリケーションのみを管理および監視できます。
• 読み取り専用テナント ユーザーはバージョン 4.5 で導入され、自分のレプリケーションのみを監視できます。
• 読み取り/書き込みプロバイダ ユーザーは現在のプロバイダ ログイン方法であり、すべてのレプリケーションとシステム健全性の管理と監視の両方を実行できます。
• 読み取り専用プロバイダ ユーザーはバージョン 4.5 で導入され、すべてのレプリケーションとシステム健全性の監視のみが可能です。

前提条件として、VCDA_MODIFY_RIGHT のみを付与し、デフォルトの組織管理者とは異なるテナント ロールの場合、VMware Cloud Director で、少なくとも次の権限を付与する必要があります。

• 全般： 管理者の制御
• vApp：仮想マシンのコンピューティング ポリシーの編集 *
• vApp： 仮想マシンのプロパティを編集
• vApp: 削除
• vApp： 仮想マシンのネットワークを編集
• vApp: プロパティの編集
• vApp: パワー操作
• vApp：仮想マシンのメトリックの表示
• vApp：ACL の表示
• 組織: 表示
• 組織：関連付け設定の編集
• 組織ネットワーク: 表示
• 組織 VDC ネットワーク：表示
• 組織 VDC コンピューティング ポリシー：表示
• 組織 VDC：ACL の表示
• すべての組織 VDC へのアクセス
• カタログ： 非公開および共有カタログの表示
• カタログ：ACL の表示
• 組織 VDC 名前付きディスク：削除
• 組織 VDC 名前付きディスク：作成
• 組織 VDC 名前付きディスク：プロパティの表示
• 組織 VDC 名前付きディスク：プロパティの編集
• 組織 VDC ゲートウェイ：L2 VPN の表示 **
• 組織 VDC ゲートウェイ：L2 VPN の構成 **

VMware Cloud Director Availability ユーザー セッションの拡張

各 VMware Cloud Director Availability ユーザー セッションでは、VMware Cloud Director ユーザーと VMware Cloud Director 組織がセッションに関連付けられている必要があります。

セッションと、リモート サイトへの認証の詳細については、『User Guide』の拡張セッションの認証を参照してください。

ユーザー セッションの拡張が必要な Cloud Service ディザスタ リカバリ操作については次の表を参照してください。