VMware Cloud on AWS により、サービス プロバイダの管理下に留まる必要がある vSphere リソースへのアクセスは制限されます。また、新しい SDDC で作成されたデフォルト ロールを変更することも禁止されます。
サービス プロバイダ (VMware) には、組織内のすべてのユーザー、グループ、権限、ロール、インベントリ オブジェクトに対するスーパーユーザー権限が付与されます。システムのロールと権限の詳細については、VMware vSphere のドキュメントのvSphere での認可についてを参照してください。
SDDC vCenter Server ロール
- CloudAdmin
- CloudAdmin ロールには、SDDC ワークロードと、ストレージ ポリシー、コンテンツ ライブラリ、vSphere タグ、リソース プールなどの関連オブジェクトを作成および管理するために必要な権限があります。このロールで、ホスト、クラスタ、管理仮想マシンなど、 VMware によってサポートおよび管理されるオブジェクトにはアクセスすることはできず、これを構成することもできません。CloudAdmin ロールで、デフォルト以外のロールを作成、クローン作成、または変更することはできます。このロールに割り当てられている権限の詳細については、 CloudAdmin 権限を参照してください。
- CloudGlobalAdmin
- CloudGlobalAdmin ロールは、SDDC の展開中に存在する必要がある内部ロールですが、展開の完了後に CloudAdmin によって削除されることがあります。
SDDC vCenter Server のユーザーとグループ
新しい SDDC には、単一の組織ユーザー アカウント ([email protected]) が入力されます。このユーザーは vCenter CloudAdminGroup のメンバーであり、CloudAdmin の vCenter Server ロールを持っています。このロールには、SDDC にローカル vCenter Server ユーザーまたはグループを作成する権限はありませんが、vCenter Single Sign-On およびハイブリッド リンク モードを構成して、シングル サインオン ユーザーが SDDC vCenter Server にアクセスできるようにする権限があります。『VMware Cloud on AWS データセンターの管理』のハイブリッド リンク モードの設定を参照してください。
AWS ロール
SDDC を作成するには、必要な AWS ロールと権限を AWS アカウントに追加する必要があります。ほとんどの権限は、SDDC が作成された後にロールから削除されます。それ以外の権限は、AWS アカウントのロールから削除されずに残ります。
残った AWS ロールおよびその権限は一切変更しないでください。変更した場合、SDDC が動作不能になります。
詳細については、アカウントのリンクと VMware Cloud on AWS CloudFormation テンプレートを参照してください。