VMware Cloud on AWS における VMware Site Recovery の権限構成の詳細

VMware Cloud on AWS で VMware Site Recovery を有効にすると、VMC.LOCAL\CloudAdminGroup グループの権限が自動的に構成されます。

[email protected] アカウント、または VMC.LOCAL\CloudAdminGroup の他の直接メンバーまたは間接メンバーを使用して、VMware Cloud on AWS で Site Recovery Manager および vSphere Replication と連携することができます。

VMware Cloud on AWS では、次の権限が付与されます。

Mgmt-ResourcePool、管理仮想マシンのフォルダ、vsanDatastore、[VMC Networks] フォルダ内のネットワークに対する読み取り専用アクセス権（SDDC 内のすべての管理コンポーネントのライフサイクルが VMware Cloud on AWS で処理されているため）。
[Compute-ResourcePool]、[Workloads と Templates VM] フォルダ、[WorkloadDatastore]、[VMC Networks] フォルダ外のネットワークなど、vCenter Server インベントリの管理対象外の部分に CloudAdmin ロールでアクセスする権限。CloudAdmin ロールの詳細については、『VMware Cloud on AWS 運用ガイド』の「SDDC のロールと権限」を参照してください。

VMware Site Recovery を有効にすると、SrmAdministrator および HmsCloudAdmin ロールを持つ VMC.LOCAL\SRM Administrator グループおよび VMC.LOCAL\HmsCloudAdministrators グループの権限の対象となるエンティティが、CloudAdmin ロールを持つ VMC.LOCAL\CloudAdminGroup が権限を持っているエンティティと同じになるように構成されます。VMware Site Recovery によって、VMC.LOCAL\SRM Administrators グループおよび VMC.LOCAL\HmsCloudAdministrators グループの両方に VMC.LOCAL\CloudAdminGroup がメンバーとして追加されます。その結果、VMC.LOCAL\CloudAdminGroup グループのすべての直接メンバーまたは間接メンバーが Site Recovery Manager および vSphere Replication と連携できるようになります。

vCenter Server インベントリのいずれかの部分でグループまたは個々のユーザーに追加の権限を定義すると、この構成がオーバーライドされ、このグループまたは個々のユーザーは Site Recovery Manager および vSphere Replication を使用できなくなります。権限のオーバーライドが行われると、その権限に与えられた 1 つのロールのみが有効になり、「この操作の実行権限が拒否されました。」というエラーが発生するためです。

SrmAdministrator ロールおよび HmsCloudAdmin ロールの権限を組み合わせる推奨方法として、グループメンバーシップを使用し、VMC.LOCAL\CloudAdminGroup グループのメンバーであることを利用して VMC.LOCAL\SRM Administrators グループと VMC.LOCAL\HmsCloudAdministrators グループの権限を継承します。

ID プロバイダフェデレーションと独自のドメインを使用する場合は、ハイブリッドリンクモードを使用して、関連するグループを VMC.LOCAL\CloudAdminGroup のメンバーとして追加することで、Site Recovery Manager および vSphere Replication を使用できるようになります。