各 SDDC では CloudAdmin という名前のロールが定義されます。このロールを持つ組織メンバーには、組織が所有するすべてのオブジェクトに対する管理者権限が付与されます。

SDDC ロール

CloudAdmin
CloudAdmin ロールには、SDDC でワークロードの作成と管理を行うために必要な権限が付与されています。ただし、ホスト、クラスタ、管理仮想マシンなど、VMware によってサポートおよび管理されるオブジェクトにはアクセスできず、これを構成することもできません。このロールに割り当てられている権限の詳細については、 CloudAdmin 権限を参照してください。
CloudGlobalAdmin
CloudGlobalAdmin ロールは、グローバル権限に関連付けられており、コンテンツ ライブラリ オブジェクトの作成と管理や、その他のグローバル タスクの実行が許可されています。
注:

CloudAdmin ロールに付与された権限のサブセットを持つ CoudGlobalAdmin ロールは、SDDC バージョン 1.7 で廃止されます。

システムのロールと権限の詳細については、vSphere ドキュメントvSphere での承認についてを参照してください。

SDDC 内のユーザーの作成、グループの作成、およびロールの作成は CloudAdmin が行う必要があります。通常、これを行うには vCenter Single Sign-On とハイブリッド リンク モードを使用します。ほとんどの場合、SDDC の vCenter Server における権限とロールの設定方法は、ハイブリッド リンク モードで SDDC にリンクされたオンプレミス vCenter Server と同じです。このため、組織のワークフローで、どちらの環境にも同じアクセス コントロールを利用することができます。

これはサービスであるため、すべてのテナント (組織のメンバ-)がサービス プロバイダ (VMware) が管理する VMware Cloud on AWS リソースへアクセスすることは、vSphere によって制限されます。また、作成したロールに関連付ける権限にも制限があります。さらに、CloudAdmin ロールと、CloudAdmin ロール以上の権限を持つすべてのロールを変更することはできません。サービス プロバイダには、組織内のすべてのユーザー、グループ、権限、ロール、インベントリ オブジェクトに対するスーパー ユーザー権限が付与されます。

システムのロールと権限の詳細については、「VMware vSphere Documentation」のvSphere での承認についてを参照してください。

AWS ロール

SDDC を作成するには、必要な AWS ロールと権限を AWS アカウントに追加する必要があります。ほとんどの権限は、SDDC が作成された後にロールから削除されます。それ以外の権限は、AWS アカウントのロールから削除されずに残ります。

重要:

残った AWS ロールおよびその権限は一切変更しないでください。変更した場合、SDDC が動作不能になります。

詳細については、AWS のロールおよび権限を参照してください。