vCenter Server ロールを使用した権限の割り当て

vCenter Server では、ロールは事前定義された権限のセットであり、アクションを実行してプロパティを読み取る権限を定義します。権限を作成するには、オブジェクトに対してロールをユーザーまたはグループに割り当てます。vCenter Server では、デフォルトで次のシステムロールとサンプルロールが利用できます。カスタムロールを作成することも可能です。

vCenter Server での権限の割り当て

vCenter Server で権限を割り当てるときは、ユーザーまたはグループをロールとペアにして、このペアをインベントリオブジェクトに関連付けます。たとえば、仮想マシンユーザーサンプルロールを使用して、ユーザーに仮想マシン属性の読み取りや変更を許可できます。

各ユーザーまたはグループには、インベントリのオブジェクトごとに異なるロールを設定できます。たとえば、インベントリにプール A とプール B という 2 つのリソースプールがある場合、Sales グループに、プール A では仮想マシンユーザーサンプルロールを割り当て、プール B では読み取り専用ロールを割り当てることができます。この場合、Sales グループのユーザーはプール A の仮想マシンをパワーオンできますが、プール B の仮想マシンは表示のみが可能です。

ユーザーがタスクをスケジュールできるのは、タスクの作成時にそのタスクを実行する権限が含まれるロールを持っている場合だけです。

事前定義された vCenter Server ロールについて

vCenter Server には、次の表に示すような事前定義されたロールがあります。

表 1. 事前定義された vCenter Server ロール
ロールタイプ	ロール名	説明
システム	管理者、読み取り専用、アクセスなし。	システムロールは永続的です。システムロールを削除したり、これらのロールに関連付けられている権限を編集したりすることはできません。システムロールは階層として編成されます。各ロールには、先行するロールの権限が含まれます。たとえば、管理者ロールは読み取り専用ロールの権限を引き継ぎます。システムロールの詳細については、次のセクションを参照してください。
サンプル	vSphere には、AutoUpdateUser、リソースプール管理者、仮想マシンユーザーなど、多数のサンプルロールが用意されています。	vSphere では、頻繁に実行される特定のタスクの組み合わせのサンプルロールが提供されています。これらのロールは、クローン作成、変更、削除することができます。注：サンプルロールの事前定義済みの設定が失われないようにするには、まずロールのクローンを作成し、そのクローンを変更します。サンプルをデフォルト設定にリセットすることはできません。

ロールに関連付けられている権限を表示するには、vSphere Client（[メニュー] > [管理] > [ロール]）のロールに移動し、[権限] タブをクリックします。

vSphere のすべての権限および説明を確認するには、事前定義された権限を参照してください。

注：対象ユーザーがログインしていても、ロールや権限を変更するとすぐに反映されます。ただし、検索では、ユーザーが一度ログアウトして再度ログインしてから権限が有効になるため、すぐには反映されません。

vCenter Server システムロール

システムロールを変更または削除することはできません。

管理者ロール: オブジェクトの管理者ロールが割り当てられているユーザーは、オブジェクトのすべてのアクションを表示および実行できます。このロールには、読み取り専用ロールのすべての権限も含まれます。オブジェクトに対する管理者ロールが付与されたユーザーは、個々のユーザーおよびグループに権限を割り当てることができます。; vCenter Server で管理者ロールを持つユーザーは、デフォルトの vCenter Single Sign-On アイデンティティソース内のユーザーおよびグループに権限を割り当てることができます。サポート対象の ID サービスについては、『 vSphere の認証』のドキュメントを参照してください。; デフォルトでは、インストール後、[email protected] ユーザーに、 vCenter Single Sign-On と vCenter Server の両方の管理者ロールが割り当てられます。この [email protected] ユーザーによって、他のユーザーに vCenter Server の管理者ロールが割り当てられます。
ヒント: ベストプラクティスは、ルートレベルにユーザーを作成し、このユーザーに管理者ロールを割り当てることです。管理者権限を持つ名前付きユーザーを作成した後は、root ユーザーを権限から削除することも、そのロールを「アクセスなし」に変更することもできます。
読み取り専用ロール: オブジェクトに対する読み取り専用ロールが割り当てられているユーザーは、オブジェクトの状態および詳細を表示できます。たとえば、このロールを持つユーザーは、仮想マシン、ホスト、およびリソースプールの属性を表示できますが、ホストのリモートコンソールを表示することはできません。メニューおよびツールバーのすべてのアクションは無効になります。
アクセスなしロール: オブジェクトに対するアクセスなしロールが割り当てられているユーザーは、オブジェクトを表示または変更できません。新しいユーザーとグループには、デフォルトでこのロールが割り当てられます。ロールは、オブジェクトごとに変更できます。; vCenter Single Sign-On ドメインの管理者（デフォルトで [email protected]）、root ユーザー、および vpxuser には、デフォルトで管理者ロールが割り当てられます。その他のユーザーには、デフォルトでアクセスなしロールが割り当てられます。

vCenter Server および ESXi のカスタムロール

vCenter Server とそれが管理するすべてのオブジェクト、または個々のホストのカスタムロールを作成できます。

vCenter Server カスタムロール（推奨）: カスタムロールを作成するには、 vSphere Client のロール編集機能を使用して、ニーズに合った権限セットを作成します。
ESXi カスタムロール: CLI または VMware Host Client を使用して、個々のホストのカスタムロールを作成できます。『 vSphere の単一ホスト管理：VMware Host Client』ドキュメントを参照してください。 vCenter Server からカスタムホストロールにアクセスすることはできません。; ESXi ホストを vCenter Server から管理する場合は、ホストと vCenter Server の両方でカスタムロールを保持しないでください。ロールは vCenter Server レベルで定義します。

vCenter Server を使用してホストを管理する場合、そのホストに関連付けられている権限は vCenter Server で作成され、 vCenter Server に格納されます。ホストに直接接続する場合は、ホストで直接作成されたロールのみを使用できます。

注：カスタムロールを追加し、それに権限を付与しない場合、そのロールは読み取り専用ロールとして作成され、 System.Anonymous、 System.View、 System.Read という 3 つのシステム定義権限が付与されます。これらの権限は vSphere Client には表示されませんが、一部の管理対象オブジェクトの特定のプロパティを読み取るために使用されます。 vCenter Server のすべての事前定義されたロールには、これらの 3 つのシステム定義の権限が含まれています。詳細については、『 vSphere Web Services API』ドキュメントを参照してください。

vCenter Server カスタムロールの作成

環境のアクセスコントロールのニーズに合わせて、vCenter Server カスタムロールを作成できます。ロールを作成するか、既存のロールのクローンを作成することができます。

他の vCenter Server システムと同じ vCenter Single Sign-On ドメインに参加する vCenter Server システムでロールを作成または編集できます。VMware Directory Service (vmdir) により、ロールに加えた変更がグループ内のほかのすべての vCenter Server システムに伝播されます。vCenter Server システム間で、特定ユーザーおよびオブジェクトへのロールの割り当ては共有されません。

前提条件

ロールを作成する vCenter Server システムで管理者権限を持っていることを確認します。

手順

vSphere Client を使用して、vCenter Server にログインします。
[管理] を選択し、[アクセスコントロール] 領域で [ロール] をクリックします。

ロールを作成します。

オプション	説明
ロールを作成するには	[新規] をクリックします。新しいロールの名前を入力します。ロールの権限を選択および選択解除します。権限カテゴリをスクロールし、そのカテゴリのすべての権限または権限のサブセットを選択します。すべてのカテゴリ、選択したカテゴリ、または選択解除されたカテゴリを表示できます。すべての権限、選択された権限、または選択解除された権限を表示することもできます。詳細については事前定義された権限を参照してください。 [作成] をクリックします。
ロールをクローン作成する場合	ロールを選択し、[クローン作成] をクリックします。ロールの名前を入力します。 [OK] をクリックします。注：ロールのクローン作成中は、権限を変更できません。権限を変更するには、クローン作成されたロールを選択し、 [編集] をクリックします。

オプション

説明

ロールを作成するには

[新規] をクリックします。
新しいロールの名前を入力します。
ロールの権限を選択および選択解除します。
権限カテゴリをスクロールし、そのカテゴリのすべての権限または権限のサブセットを選択します。すべてのカテゴリ、選択したカテゴリ、または選択解除されたカテゴリを表示できます。すべての権限、選択された権限、または選択解除された権限を表示することもできます。詳細については事前定義された権限を参照してください。
[作成] をクリックします。

ロールをクローン作成する場合

ロールを選択し、[クローン作成] をクリックします。
ロールの名前を入力します。
[OK] をクリックします。

注：ロールのクローン作成中は、権限を変更できません。権限を変更するには、クローン作成されたロールを選択し、 [編集] をクリックします。

次のタスク

これで、オブジェクトを選択し、そのオブジェクトのユーザーまたはグループにロールを割り当てることによって、権限を作成できます。