NSX-T Data Center によって提供される RBAC 機能を拡張し、運用要件に合わせてカスタムロールを作成します。既存のロールのクローンを作成してカスタマイズするか、ロールを新たに作成することができます。NSX-T Data Center 3.1.1 以降では、ユーザーが作成したロールを編集および削除することもできます。

  • カスタム ロールは、ポリシー モードで使用可能な機能に対してのみ作成できます。マネージャ モードの機能へのアクセス権を持つロールのクローンを作成すると、クローン作成されたロールは、ポリシー モード機能にのみアクセスできるようになります。たとえば、アップグレード、移行、ファブリック、トレースフロー、NSX Intelligence、物理サーバとコンテナのインベントリなどの機能は、マネージャ モードでのみ使用できます。これらの機能はサポートされていません。ほとんどの機能はサポートされています。カスタム ロールのユーザーの場合、次の機能がサポートされていません。
    • [システム] > [構成] > [ファブリック] > [プロファイル]
    • [システム] > [構成] > [ファブリック] > [トランスポート ゾーン]
    • [システム] > [構成] > [ファブリック] > [設定] > [トンネル/リモート、トンネル エンドポイント]
    • [システム] > [構成] > [Identity Firewall の Active Directory]
    • [システム] > [ライフサイクル管理] > [アップグレードと移行]
    • [システム] > [設定] > [ユーザー管理、サポート バンドル、プロキシ設定、ユーザー インターフェイスの設定]
    マネージャ モードとポリシー モードの詳細については、NSX Managerを参照してください。
  • ロール管理機能の権限をカスタム ロールに割り当てることができるのは、エンタープライズ管理者のみです。エンタープライズ管理者は、カスタム ロールを作成し、カスタム ロールの作成とユーザー ロールの割り当てを委任できます。
  • カスタム ロールが割り当てられたユーザーは、自分と同等以下の権限セットを持つカスタム ロールを作成できます。カスタム ロールが割り当てられているユーザーは、自分のも高い権限を持つロールの作成や割り当てを行うことができません。
  • カスタムロールが割り当てられたユーザーは、自分に割り当てられているロールを変更または削除することはできません。
注: カスタム ロールは、グローバル マネージャ(フェデレーション)でサポートされていません。

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [システム] > [ユーザーおよびロール] > [ロール] の順に選択します。
  3. 既存のロールのクローンを作成するか、新規に作成します。
    • ロールのクローンを作成するには、そのロールの アクション メニュー をクリックして、[クローン作成] を選択します。クローン作成するロールの名前を入力し、運用要件に従って権限を指定します。
    • ロールを作成するには、[ロールの追加] をクリックします。ロールの名前を入力し、運用要件に従って権限を更新します。
    注:

    選択した機能に基づいて、NSX-T Data Center が、新しいロール定義を有効にするための追加の権限を提案する場合があります。推奨事項を確認して、[適用] をクリックします。

    カスタム ロールを作成するときに、NSX-T Data Center は機能の依存関係を確認します。依存関係のチェックで、ロールを有効にするために必要な追加機能に対して読み取りアクセス以上の権限がユーザーに付与されているかどうか確認します。

    たとえば、ユーザーがゲートウェイ ファイアウォールに対するフルアクセス権限を持つロールを作成したときに、ネットワーク ゲートウェイ機能にアクセス権限が [なし] に設定されていると、このロールは無効になります。NSX-T Data Center は、追加で必要なネットワーク ゲートウェイ機能に対して読み取りアクセス以上の権限をユーザーに割り当てるように提案します。

  4. (オプション)ユーザーが作成したロールを編集または削除します。
    • アクセスを拡張する場合などにユーザーが作成したロールを編集するには、そのロールの アクション メニュー をクリックして、[編集] を選択します。ロール名、説明、および権限を運用要件に従って変更します。
    • 一時的なアクセスなどのためにユーザーが作成したロールを削除するには、そのロールの アクション メニュー をクリックして、[削除] を選択します。