ロールとは、事前に定義された権限セットです。オブジェクトにアクセス許可を追加すると、ユーザー(またはグループ)とロールのペアが形成されます。vCenter Server には、いくつかのシステム ロールが定義されています。ユーザーがシステム ロールを変更することはできません。

vCenter Server には、いくつかのデフォルト ロールが用意されています。デフォルト ロールに関連付けられた権限を変更することはできません。デフォルト ロールは階層のように編成され、各ロールは上位のロールの権限を継承します。たとえば、システム管理者ロールは読み取り専用ロールの権限を引き継ぎます。

vCenter Server のロール階層にはサンプル ロールもいくつか含まれています。サンプル ロールのクローンを作成すれば同様のロールを作成できます。

CloudAdmin ロール
CloudAdmin ロールには、SDDC でワークロードの作成と管理を行うために必要な権限が付与されています。ただし、ホスト、クラスタ、管理仮想マシンなど、VMware によってサポートされ管理される特定の管理コンポーネントへのアクセスや設定は許可されません。
CloudGlobalAdmin ロール

CloudAdmin ロールに付与された権限のサブセットを持つ CoudGlobalAdmin ロールは、SDDC バージョン 1.7 で廃止されます。

管理者ロール
オブジェクトの管理者ロールが割り当てられているユーザーは、オブジェクトのすべてのアクションを表示および実行できます。このロールには、読み取り専用ロールのすべての権限も含まれます。オブジェクトに対する管理者ロールを付与されたユーザーは、個々のユーザーおよびグループに権限を割り当てることができます。
vCenter Server で管理者ロールを持つユーザーは、デフォルトの vCenter Single Sign-On アイデンティティ ソース内のユーザーおよびグループに権限を割り当てることができます。サポートされている ID サービスには、Windows Active Directory や OpenLDAP 2.4 などがあります。
デフォルトでは、インストール後、administrator@vsphere.local ユーザーに、 vCenter Single Sign-OnvCenter Server の両方の管理者ロールが割り当てられます。この administrator@vsphere.local ユーザーによって、他のユーザーに vCenter Server の管理者ロールが割り当てられます。
読み取り専用ロール
オブジェクトに対する読み取り専用ロールが割り当てられているユーザーは、オブジェクトの状態および詳細を表示できます。たとえば、このロールを持つユーザーは、仮想マシン、ホスト、およびリソース プールの属性を表示できますが、ホストのリモート コンソールを表示することはできません。メニューおよびツールバーのすべてのアクションは無効になります。
アクセスなしロール
オブジェクトに対するアクセスなしロールが割り当てられているユーザーは、オブジェクトを表示または変更できません。新しいユーザーとグループには、デフォルトでこのロールが割り当てられます。ロールは、オブジェクトごとに変更できます。
vCenter Single Sign-On ドメインの管理者(デフォルトで administrator@vsphere.local)、root ユーザー、および vpxuser には、デフォルトで管理者ロールが割り当てられます。その他のユーザーには、デフォルトでアクセスなしロールが割り当てられます。
暗号化なし管理者ロール
オブジェクトに対する暗号化なし管理者ロールが割り当てられているユーザーは、 暗号化操作権限を除き、管理者ロールが割り当てられているユーザーと同じ権限を持ちます。このロールにより、管理者は、仮想マシンの暗号化または復号化や暗号データへのアクセス以外のすべての管理タスクを実行できる他の管理者を指定できます。