VMware Cloud Director の権限およびロールの管理

権限は、VMware Cloud Director のアクセスコントロールの基本単位です。ロールとは、ロール名に一連の権限が関連付けられたものです。組織ごとに異なる権限およびロールを設定できます。

VMware Cloud Director は、ロールとそれに関連付けられた権限を使用して、ユーザーまたはグループが操作の実行を許可されているかどうかを判断します。VMware Cloud Director のガイドに記載されている手順の多くには、前提条件ロールが含まれています。これらの前提条件では、指定されたロールが、未変更の事前定義ロール、または対応する一連の権限を含むロールであることを想定しています。

システム管理者とサブプロバイダ管理者は権限バンドルおよびグローバルテナントロールを使用して、各組織で使用可能な権限およびロールを管理することができます。

VMware Cloud Director をインストールしたシステムには、System Rights Bundle のみが含まれており、このバンドルにはシステムで使用可能なすべての権限が含まれています。System Rights Bundle は、どの組織にも公開されません。システムには、デフォルトでは公開されていないサブプロバイダ管理者ロールを除き、system 組織によって管理されているすべての組織に公開される組み込みのグローバルテナントロールも含まれます。事前定義済みロールの詳細については、「VMware Cloud Director の事前定義ロールとその権限」を参照してください。

システムには、System Rights Bundle に加えて、既存の組織ごとに Legacy Rights Bundle が含まれる場合があります。各 Legacy Rights Bundle にはアップグレード時点で関連付けられた組織で使用可能な権限で、この組織でのみ公開されているものが含まれています。

注：既存の組織の権限バンドルモデルを使用するには、対応する Legacy Rights Bundle を削除する必要があります。

注：

VMware Cloud Director では、権限およびロールを管理するための OpenAPI が用意されています。VMware Cloud Director OpenAPI の詳細については、『VMware Cloud Director OpenAPI スタートガイド』(https://developer.broadcom.com/) を参照してください。

権限に関する用語

権限

各権限は、 VMware Cloud Director で特定のオブジェクトタイプへのアクセスを管理および表示します。権限は、関連するオブジェクトに応じて、 vApp、 Catalog、 Organization などのさまざまなカテゴリに属しています。プロバイダ組織には、システムで使用可能なすべての権限が含まれています。システム管理者は、各組織が使用できる権限を定義します。サブプロバイダは、管理する組織で使用できる権限を定義できます。 VMware Cloud Director に含まれる権限を作成または変更することはできません。

権限バンドル

システム管理者は権限バンドルを使用して、各組織が使用できる権限を管理できます。権限バンドルとは、システム管理者が 1 つ以上の組織に公開できる権限のセットを指します。システム管理者またはサブプロバイダ管理者は、サービスの階層、個別の収益化可能な機能、またはその他の任意の権限グループ分けに応じて権限バンドルを作成して、公開できます。システム管理者とサブプロバイダ管理者は、自分が直接管理する組織にのみ権限バンドルを公開できます。たとえば、プロバイダはサブプロバイダが管理するテナント組織には権限バンドルを公開できません。権限バンドルを表示および管理できるのは、システム管理者とサブプロバイダ管理者のみです。管理者は複数のバンドルを同じ組織に公開できます。

権限の分類

バージョン 10.6 以降では、 VMware Cloud Director の権限は、 Provider、 Sub-provider、 Tenant の 3 つのグループに分類されます。 provider 権限はプロバイダにのみ適用され、それ以外に割り当てたり、表示したりすることはできません。プロバイダは直接テナントに sub-provider 権限を公開してサブプロバイダの機能を付与できますが、サブプロバイダ管理者は自分が管理するテナント組織に sub-provider 権限を公開できません。 tenant 権限は、誰にでも割り当てることができる通常の権限です。

すべての VMware Cloud Director 権限の、API での権限の名前、ユーザーインターフェイスでの権限の名前、権限の分類、ユーザーインターフェイスでの権限カテゴリなどを含むリストについては、CSV 形式の VMware Cloud Director 10.6 Rights ファイルを参照してください。

または、VMware Cloud Director API を使用するときには権限の分類を確認できます。VMware Cloud Director は、各権限とともに isPublishable フィールドを返します。このフィールドは、呼び出し元の分類とコンテキストに応じて true または false になります。たとえば、sub-provider と分類された権限は、プロバイダのコンテキストでは true になりますが、サブプロバイダのコンテキストでは false になります。

組織の権限: 組織の権限とは、組織が使用できる権限の完全なセットを指します。組織の権限は複数の権限バンドルで構成されますが、組織管理者およびユーザーにはフラットな権限セットが表示され、テナント固有のロールを作成および変更する際に使用できるようになります。

ロールに関する用語

ロール

ロールとは、1 つまたは複数のユーザーおよびグループに割り当てることができる権限セットを指します。ユーザーまたはグループを作成またはインポートするときは、ロールを割り当てる必要があります。

プロバイダロール

プロバイダロールとは、プロバイダ組織のみが使用できるロールセットを指します。システム管理者は、プロバイダユーザーにのみプロバイダロールを割り当てることができます。システム管理者は、カスタムプロバイダロールを作成できます。

サブプロバイダロール

VMware Cloud Director 10.6 以降では、システム管理者は必要な権限を組織に公開して、その組織をサブプロバイダ組織にすることができます。事前定義されたサブプロバイダ管理者ロールを持つユーザーは、組織および組織 VDC の作成と管理、サブプロバイダの組織内のユーザーとグループの管理、および事前定義されたサブプロバイダ管理者ロールを含むロールの割り当てを行うことができます。サブプロバイダ管理者はサブプロバイダ組織内で活動します。サブプロバイダ管理者ロールは、グローバルロールと権限バンドルの両方を作成および公開できます。

サブプロバイダロールの詳細については、「VMware Cloud Director 管理の概要」を参照してください。サブプロバイダ権限の完全なリストについては、「事前定義グローバルテナントロールの VMware Cloud Director 権限」を参照してください。

テナントロール

テナントロールとは、組織が使用できるロールセットのことです。

システム管理者とサブプロバイダ管理者は、グローバルテナントロールを作成および編集し、1 つ以上の組織に公開することができます。システム管理者とサブプロバイダ管理者は、自分が直接管理する組織にのみグローバルテナントロールを公開できます。たとえば、プロバイダはサブプロバイダが管理するテナント組織にはグローバルテナントロールを公開できません。管理者は、グローバルテナントロールを公開先の組織内のテナントユーザーに割り当てることができます。組織管理者は、グローバルテナントロールを編集できません。

注：テナントユーザーは、組織に公開されているロール内の権限のみを使用できます。

テナント固有のロール

組織管理者は、組織に対してローカルなテナント固有のロールを作成および編集できます。テナント固有のロールは、所属先の組織内のテナントユーザーにのみ割り当てることができます。テナント固有のロールには、組織の権限のサブセットのみを含めることができます。

テナント固有のロールの管理の詳細については、『VMware Cloud Director サブプロバイダおよびテナントガイド』を参照してください。