vCenter Server 環境のセキュリティと管理性を最大にするため、ロールと権限のベスト プラクティスを使用します。
vCenter Server 環境のロールと権限を構成するときは、次のベスト プラクティスが推奨されます。
- 可能であれば、個々のユーザーではなく、グループにロールを割り当てます。
- アクセス許可が必要なオブジェクトにのみアクセス許可を付与し、権限が持つ必要があるユーザーまたはグループに対してのみ権限を割り当てます。使用する権限の数を最小限にすることで、権限構造が分かりやすくなり、管理が簡単になります。
- 制限付きロールをグループに割り当てる場合は、そのグループにシステム管理者ユーザーまたはその他の管理権限を持つユーザーが含まれていないことを確認してください。含まれている場合、グループに制限付きロールを割り当てたインベントリ階層の一部で、管理者の権限が誤って制限される可能性があります。
- フォルダを使用してオブジェクトをグループ化します。たとえば、1 つのホスト セットに変更アクセス許可を付与し、別のホスト セットに表示アクセス許可を付与する場合は、各ホスト セットを 1 つのフォルダに格納します。
- ルートの vCenter Server オブジェクトにアクセス許可を追加する場合は、注意してください。ルート レベルの権限を持つユーザーは、ロール、カスタム属性、vCenter Server の設定など、vCenter Server 上のグローバル データにアクセスできます。
- オブジェクトに権限を割り当てるときに伝達を有効にすることを検討してください。伝達によって、オブジェクト階層内の新規オブジェクトが権限を継承し、ユーザーからアクセスできるようにします。
- 階層内の特定の領域をマスクするには、アクセスなしロールを使用します。アクセスなしロールは、そのロールを持つユーザーまたはグループに対し、アクセスを制限します。
- ライセンスへの変更は、次のように伝達します。
- 同じ Platform Services Controller にリンクされているすべての vCenter Server システムへ。
- 同じ vCenter Single Sign-On ドメイン内の Platform Services Controller インスタンスへ。
- ライセンスの伝達は、すべての vCenter Server システムでユーザーが権限を持っていない場合にも発生します。