NSX では、既存のロールを使用してマルチテナントをサポートするための新しいロールがいくつか導入されています。
マルチテナントのコンテキストで使用されるロールの一部を次に示します。
/
空間へのアクセス権を持つロール。これにより、/infra
のすべての構成と/org
にアクセスできます。- エンタープライズ管理者:プロバイダ管理者はインフラストラクチャの準備を担当し、プロジェクト内外の構成にアクセスできるスーパー ユーザーです。
- 監査者:このロールのユーザーには、システム設定と構成に対して読み取り専用アクセス権があり、トラブルシューティング ツールに対してはフル アクセス権があります。
- NSX 4.0.1.1 で導入されたロールは、
/orgs
の構成にのみアクセスできるマルチテナント向けです。- 組織管理者(技術プレビュー。本番環境用ではありません):組織管理者ロールは現在、組織内のプロジェクトを管理するために技術プレビュー モードで使用できます。ただし、このロールには、プロジェクトの作成に必要な
/infra
オブジェクトへのアクセス権はありません。プロジェクトの作成にはエンタープライズ管理者ロールを使用します。 - プロジェクト管理者:プロジェクト管理者はプロジェクトを管理し、そのプロジェクト内の構成に対するフル アクセス権を持ちます。
- 組織管理者(技術プレビュー。本番環境用ではありません):組織管理者ロールは現在、組織内のプロジェクトを管理するために技術プレビュー モードで使用できます。ただし、このロールには、プロジェクトの作成に必要な
次の API 呼び出しを実行して、プロジェクト管理者ロールを割り当てます。
POST /policy/api/v1/aaa/role-bindings/要求の例:
URL:
POST https://{{nsx-manager-ip}}/policy/api/v1/aaa/role-bindings/本文:
{ “name”: “[email protected]”, “type”: “remote_user”, “roles_for_paths”: [ { “path”: “/orgs/default/projects/project-1”, “roles”: [ { “role”: “project_admin” } ] } ], “resource_type”: “RoleBinding”, “identity_source_type”: “LDAP”, “read_roles_for_paths”: true }
プロジェクト パスを指定して、次の既存ロールを特定のプロジェクトに割り当てることもできます。
- ネットワーク管理者:プロジェクト パスに割り当てられている場合、ネットワーク管理者ロールはそのプロジェクト レベルでネットワークとサービスを管理できます。
- ネットワーク オペレータ:プロジェクト パスに割り当てられている場合、このロールを持つユーザーは、そのプロジェクト レベルでネットワーク構成に対する読み取り専用アクセス権を持ちます。
- セキュリティ管理者:プロジェクト パスに割り当てられた場合、セキュリティ管理者ロールはそのプロジェクト レベルでセキュリティ ポリシーを管理できます。
- セキュリティ オペレータ:プロジェクト パスに割り当てられた場合、このロールを持つユーザーは、そのプロジェクト レベルでセキュリティ構成に対する読み取り専用アクセス権を持ちます。
URL:
POST https://{{nsx-manager-ip}}/policy/api/v1/aaa/role-bindings/<RoleBinding ID>本文:
{ “name”: “[email protected]”, “type”: “local_user”, “roles_for_paths”: [ { “path”: “/orgs/default/projects/project-1”, “roles”: [ { “role”: “project_admin” } ] } ], “resource_type”: “RoleBinding”, “read_roles_for_paths”: true }
ローカル ユーザーにプロジェクト管理者ロールのみが割り当てられるようにするには、監査者ロールを削除します。
DELETE https://{{nsx}}/policy/api/v1/aaa/role-bindings/<RoleBinding ID>
認証
NSX マルチテナントは、複数のタイプの ID ソースで構成されたユーザーをサポートします。サポートされている ID ソースのタイプとその構成パラメータは次のとおりです。
- ローカル ユーザー(admin、audit、guestuser1、guestuser2)
“type”: “local_user”,
- vIDM (VMware Identity Manager)
“type”: “remote_user”, “identity_source_type”: “VIDM”,
- LDAP (Lightweight Directory Access Protocol)
“type”: “remote_user”, “identity_source_type”: “LDAP”,
- プリンシパル ID(証明書または JWT トークン経由)
ロールは、プリンシパル ID API を使用してのみ割り当てることができます。