vCenter Server システムロール

ロールとは、事前に定義された権限セットです。オブジェクトに権限を追加する場合は、ユーザーまたはグループとロールをペアリングします。vCenter Server には、変更できないシステムロールがいくつか含まれています。

vCenter Server には、いくつかのデフォルトロールが用意されています。デフォルトロールに関連付けられた権限を変更することはできません。デフォルトロールは階層のように編成され、各ロールは上位のロールの権限を継承します。たとえば、システム管理者ロールは読み取り専用ロールの権限を引き継ぎます。

vCenter Server ロール階層には、複数のサンプルロールも含まれます。サンプルロールのクローンを作成して、同様のロールを作成することができます。

ロールを作成する場合、システムロールのいずれからも権限は継承されません。

管理者ロール: オブジェクトの管理者ロールが割り当てられているユーザーは、オブジェクトのすべてのアクションを表示および実行できます。このロールには、読み取り専用ロールのすべての権限も含まれます。オブジェクトに対する管理者ロールが付与されたユーザーは、個々のユーザーおよびグループに権限を割り当てることができます。; vCenter Server で管理者ロールを持つユーザーは、デフォルトの vCenter Single Sign-On アイデンティティソース内のユーザーおよびグループに権限を割り当てることができます。サポート対象の ID サービスについては、『 Platform Services Controller の管理』のドキュメントを参照してください。; デフォルトでは、インストール後、[email protected] ユーザーに、 vCenter Single Sign-On と vCenter Server の両方の管理者ロールが割り当てられます。この [email protected] ユーザーによって、他のユーザーに vCenter Server の管理者ロールが割り当てられます。
読み取り専用ロール: オブジェクトに対する読み取り専用ロールが割り当てられているユーザーは、オブジェクトの状態および詳細を表示できます。たとえば、このロールを持つユーザーは、仮想マシン、ホスト、およびリソースプールの属性を表示できますが、ホストのリモートコンソールを表示することはできません。メニューおよびツールバーのすべてのアクションは無効になります。
アクセスなしロール: オブジェクトに対するアクセスなしロールが割り当てられているユーザーは、オブジェクトを表示または変更できません。新しいユーザーとグループには、デフォルトでこのロールが割り当てられます。ロールは、オブジェクトごとに変更できます。; vCenter Single Sign-On ドメインの管理者（デフォルトで [email protected]）、root ユーザー、および vpxuser には、デフォルトで管理者ロールが割り当てられます。その他のユーザーには、デフォルトでアクセスなしロールが割り当てられます。

ベストプラクティスは、ルートレベルにユーザーを作成し、このユーザーに管理者ロールを割り当てることです。管理者権限を持つ名前付きユーザーを作成した後は、root ユーザーを権限から削除することも、そのロールを「アクセスなし」に変更することもできます。