vCenter Server 環境のセキュリティと管理性を最大にするため、ロールと権限のベスト プラクティスを使用します。

vCenter Server 環境のロールと権限を構成するときは、次のベスト プラクティスが推奨されます。

  • 可能な場合は、個々のユーザーではなくグループにロールを割り当てて、そのグループに権限を付与します。

  • アクセス許可が必要なオブジェクトにのみアクセス許可を付与し、権限が持つ必要があるユーザーまたはグループに対してのみ権限を割り当てます。使用する権限の数を最小限にすることで、権限構造が分かりやすくなり、管理が簡単になります。

  • 制限付きロールをグループに割り当てる場合は、そのグループにシステム管理者ユーザーまたはその他の管理権限を持つユーザーが含まれていないことを確認してください。含まれている場合、グループに制限付きロールを割り当てたインベントリ階層の一部で、管理者の権限が誤って制限されます。

  • フォルダを使用してオブジェクトをグループ化します。たとえば、1 つのホスト セットに変更アクセス許可を付与し、別のホスト セットに表示アクセス許可を付与する場合は、各ホスト セットを 1 つのフォルダに格納します。

  • ルートの vCenter Server オブジェクトにアクセス許可を追加する場合は、注意してください。ルート レベルの権限を持つユーザーは、ロール、カスタム属性、vCenter Server の設定など、vCenter Server 上のグローバル データにアクセスできます。

  • ほとんどの場合、アクセス許可をオブジェクトに割り当てるときに伝達を有効にします。これによって、新しいオブジェクトをインベントリ階層に挿入したときに、権限が継承され、ユーザーがアクセスできるようになります。

  • 特定のユーザーまたはグループが、オブジェクト階層内の特定の領域にあるオブジェクトにアクセスできないようにするには、アクセスなしロールを使用して階層内のその領域をマスクします。

  • ライセンスに対する変更は、ユーザーが vCenter Server システムのすべてに対する権限がない場合でも、同じ Platform Services Controller にリンクされているすべての vCenter Server システムに、または同じ vCenter Single Sign-On ドメインの Platform Services Controller に伝達されます。