vCenter Server 環境のセキュリティと管理性を最大限に高めるため、ロールと権限のベスト プラクティスに準拠してください。
vCenter Server 環境のロールと権限を設定するときは、次のベスト プラクティスを実施してください。
- 可能であれば、個々のユーザーではなく、グループにロールを割り当てます。
- アクセス許可が必要なオブジェクトにのみアクセス許可を付与し、権限が持つ必要があるユーザーまたはグループに対してのみ権限を割り当てます。使用する権限の数を最小限にすることで、権限構造が分かりやすくなり、管理が簡単になります。
- 制限付きロールをグループに割り当てる場合は、そのグループにシステム管理者ユーザーまたはその他の管理権限を持つユーザーが含まれていないことを確認してください。含まれている場合、グループに制限付きロールを割り当てたインベントリ階層の一部で、管理者の権限が誤って制限される可能性があります。
- フォルダを使用してオブジェクトをグループ化します。たとえば、1 つのホスト セットに変更アクセス許可を付与し、別のホスト セットに表示アクセス許可を付与する場合は、各ホスト セットを 1 つのフォルダに格納します。
- ルートの vCenter Server オブジェクトにアクセス許可を追加する場合は、注意してください。ルート レベルの権限を持つユーザーは、ロール、カスタム属性、vCenter Server の設定など、vCenter Server 上のグローバル データにアクセスできます。
- オブジェクトに権限を割り当てるときに伝達を有効にすることを検討してください。伝達により、オブジェクト階層内の新規オブジェクトで権限が確実に継承されます。たとえば、仮想マシン フォルダに権限を割り当てて、伝達を有効にすると、権限がフォルダ内のすべての仮想マシンに確実に適用されます。
- 階層内の特定の領域をマスクするには、アクセスなしロールを使用します。アクセスなしロールは、そのロールを持つユーザーまたはグループに対し、アクセスを制限します。
- ライセンスへの変更は、次のように伝達します。
- 同じ Platform Services Controller にリンクされているすべての vCenter Server システムへ。
- 同じ vCenter Single Sign-On ドメイン内の Platform Services Controller インスタンスへ。
- ライセンスの伝達は、すべての vCenter Server システムでユーザーが権限を持っていない場合にも発生します。