ロールとは、事前に定義された権限セットです。オブジェクトにアクセス許可を追加すると、ユーザー(またはグループ)とロールのペアが形成されます。vCenter Server には、いくつかのシステム ロールが定義されています。ユーザーがシステム ロールを変更することはできません。

vCenter Server システム ロール

vCenter Server には、少数のデフォルト ロールが用意されています。デフォルト ロールに関連付けられた権限を変更することはできません。デフォルト ロールは階層のように編成され、各ロールは上位のロールの権限を継承します。たとえば、システム管理者ロールは読み取り専用ロールの権限を引き継ぎます。ユーザーが作成したロールは、どのシステム ロールの権限も継承しません。

管理者ロール

オブジェクトの管理者ロールが割り当てられているユーザーは、オブジェクトのすべてのアクションを表示および実行できます。このロールには、読み取り専用ロールに与えられているすべての権限も含まれます。オブジェクトに対する管理者ロールを付与されたユーザーは、個々のユーザーおよびグループに権限を割り当てることができます。vCenter Server で管理者ロールを持つユーザーは、デフォルトの vCenter Single Sign-On アイデンティティ ソース内のユーザーおよびグループに権限を割り当てることができます。サポートされている ID サービスには、Windows Active Directory や OpenLDAP 2.4 などがあります。

デフォルトでは、インストール後、administrator@vsphere.local ユーザーに、vCenter Single Sign-OnvCenter Server の両方の管理者ロールが割り当てられます。この administrator@vsphere.local ユーザーによって、他のユーザーに vCenter Server の管理者ロールが割り当てられます。

アクセスなしロール

オブジェクトに対して、アクセスなしロールが割り当てられているユーザーは、オブジェクトを表示または変更できません。新しいユーザーとグループには、デフォルトでこのロールが割り当てられます。ロールは、オブジェクトごとに変更できます。

デフォルトでアクセスなしロールが与えられていないユーザーは、administrator@vsphere.local ユーザー、root ユーザー、および vpxuser だけです。代わりに、これらのユーザーには、システム管理者ロールが割り当てられています。最初にシステム管理者ロールを持つ root レベルで代替アクセス許可を作成し、このアクセス許可を別のユーザーに割り当てている場合は、すべてのアクセス許可から root ユーザーを削除したり、そのロールをアクセスなしロールに変更したりできます。

読み取り専用ロール

オブジェクトに対して、読み取り専用ロールが割り当てられているユーザーは、オブジェクトの状態および詳細を表示できます。このロールが割り当てられているユーザーは、仮想マシン、ホスト、およびリソース プール属性を表示できます。ただし、ホストのリモート コンソールは表示できません。メニューおよびツールバーのすべてのアクションは無効になります。