vCenter Server では、ロールは事前定義された権限のセットであり、アクションを実行してプロパティを読み取る権限を定義します。権限を作成するには、オブジェクトに対してロールをユーザーまたはグループに割り当てます。vCenter Server では、デフォルトで次のシステム ロールとサンプル ロールが利用できます。カスタム ロールを作成することも可能です。

vCenter Server での権限の割り当て

vCenter Server で権限を割り当てるときは、ユーザーまたはグループをロールとペアにして、このペアをインベントリ オブジェクトに関連付けます。たとえば、仮想マシン ユーザー サンプル ロールを使用して、ユーザーに仮想マシン属性の読み取りや変更を許可できます。

各ユーザーまたはグループには、インベントリのオブジェクトごとに異なるロールを設定できます。たとえば、インベントリにプール A とプール B という 2 つのリソース プールがある場合、Sales グループに、プール A では仮想マシン ユーザー サンプル ロールを割り当て、プール B では読み取り専用ロールを割り当てることができます。この場合、Sales グループのユーザーはプール A の仮想マシンをパワーオンできますが、プール B の仮想マシンは表示のみが可能です。

ユーザーがタスクをスケジュールできるのは、タスクの作成時にそのタスクを実行する権限が含まれるロールを持っている場合だけです。

事前定義された vCenter Server ロールについて

vCenter Server には、次の表に示すような事前定義されたロールがあります。

表 1. 事前定義された vCenter Server ロール
ロール タイプ ロール名 説明
システム 管理者、読み取り専用、アクセスなし。 システム ロールは永続的です。システム ロールを削除したり、これらのロールに関連付けられている権限を編集したりすることはできません。システム ロールは階層として編成されます。各ロールには、先行するロールの権限が含まれます。たとえば、管理者ロールは読み取り専用ロールの権限を引き継ぎます。システム ロールの詳細については、次のセクションを参照してください。
サンプル vSphere には、AutoUpdateUser、リソース プール管理者、仮想マシン ユーザーなど、多数のサンプル ロールが用意されています。 vSphere では、頻繁に実行される特定のタスクの組み合わせのサンプル ロールが提供されています。これらのロールは、クローン作成、変更、削除することができます。
注: サンプル ロールの事前定義済みの設定が失われないようにするには、まずロールのクローンを作成し、そのクローンを変更します。サンプルをデフォルト設定にリセットすることはできません。

ロールに関連付けられている権限を表示するには、vSphere Client([メニュー] > [管理] > [ロール])のロールに移動し、[権限] タブをクリックします。

vSphere のすべての権限および説明を確認するには、事前定義された権限を参照してください。

注: 対象ユーザーがログインしていても、ロールや権限を変更するとすぐに反映されます。ただし、検索では、ユーザーが一度ログアウトして再度ログインしてから権限が有効になるため、すぐには反映されません。

vCenter Server システム ロール

システム ロールを変更または削除することはできません。

管理者ロール
オブジェクトの管理者ロールが割り当てられているユーザーは、オブジェクトのすべてのアクションを表示および実行できます。このロールには、読み取り専用ロールのすべての権限も含まれます。オブジェクトに対する管理者ロールが付与されたユーザーは、個々のユーザーおよびグループに権限を割り当てることができます。
vCenter Server で管理者ロールを持つユーザーは、デフォルトの vCenter Single Sign-On アイデンティティ ソース内のユーザーおよびグループに権限を割り当てることができます。サポート対象の ID サービスについては、『 vSphere の認証』のドキュメントを参照してください。
デフォルトでは、インストール後、administrator@vsphere.local ユーザーに、 vCenter Single Sign-OnvCenter Server の両方の管理者ロールが割り当てられます。この administrator@vsphere.local ユーザーによって、他のユーザーに vCenter Server の管理者ロールが割り当てられます。
ヒント: ベスト プラクティスは、ルート レベルにユーザーを作成し、このユーザーに管理者ロールを割り当てることです。管理者権限を持つ名前付きユーザーを作成した後は、root ユーザーを権限から削除することも、そのロールを「アクセスなし」に変更することもできます。
読み取り専用ロール
オブジェクトに対する読み取り専用ロールが割り当てられているユーザーは、オブジェクトの状態および詳細を表示できます。たとえば、このロールを持つユーザーは、仮想マシン、ホスト、およびリソース プールの属性を表示できますが、ホストのリモート コンソールを表示することはできません。メニューおよびツールバーのすべてのアクションは無効になります。
アクセスなしロール
オブジェクトに対するアクセスなしロールが割り当てられているユーザーは、オブジェクトを表示または変更できません。新しいユーザーとグループには、デフォルトでこのロールが割り当てられます。ロールは、オブジェクトごとに変更できます。
vCenter Single Sign-On ドメインの管理者(デフォルトで administrator@vsphere.local)、root ユーザー、および vpxuser には、デフォルトで管理者ロールが割り当てられます。その他のユーザーには、デフォルトでアクセスなしロールが割り当てられます。

vCenter Server および ESXi のカスタム ロール

vCenter Server とそれが管理するすべてのオブジェクト、または個々のホストのカスタム ロールを作成できます。
vCenter Server カスタム ロール (推奨)
カスタム ロールを作成するには、 vSphere Client のロール編集機能を使用して、ニーズに合った権限セットを作成します。
ESXi カスタム ロール
CLI または VMware Host Client を使用して、個々のホストのカスタム ロールを作成できます。『 vSphere の単一ホスト管理:VMware Host Client』ドキュメントを参照してください。 vCenter Server からカスタム ホスト ロールにアクセスすることはできません。
ESXi ホストを vCenter Server から管理する場合は、ホストと vCenter Server の両方でカスタム ロールを保持しないでください。ロールは vCenter Server レベルで定義します。
vCenter Server を使用してホストを管理する場合、そのホストに関連付けられている権限は vCenter Server で作成され、 vCenter Server に格納されます。ホストに直接接続する場合は、ホストで直接作成されたロールのみを使用できます。
注: カスタム ロールを追加し、それに権限を付与しない場合、そのロールは読み取り専用ロールとして作成され、 System.AnonymousSystem.ViewSystem.Read という 3 つのシステム定義権限が付与されます。これらの権限は vSphere Client には表示されませんが、一部の管理対象オブジェクトの特定のプロパティを読み取るために使用されます。 vCenter Server のすべての事前定義されたロールには、これらの 3 つのシステム定義の権限が含まれています。詳細については、『 vSphere Web Services API』ドキュメントを参照してください。

vCenter Server カスタム ロールの作成

環境のアクセス コントロールのニーズに合わせて、vCenter Server カスタム ロールを作成できます。ロールを作成するか、既存のロールのクローンを作成することができます。

他の vCenter Server システムと同じ vCenter Single Sign-On ドメインに参加する vCenter Server システムでロールを作成または編集できます。VMware Directory Service (vmdir) により、ロールに加えた変更がグループ内のほかのすべての vCenter Server システムに伝播されます。vCenter Server システム間で、特定ユーザーおよびオブジェクトへのロールの割り当ては共有されません。

前提条件

ロールを作成する vCenter Server システムで管理者権限を持っていることを確認します。

手順

  1. vSphere Client を使用して、vCenter Server にログインします。
  2. [管理] を選択し、[アクセス コントロール] 領域で [ロール] をクリックします。
  3. ロールを作成します。
    オプション 説明
    ロールを作成するには
    1. [新規] をクリックします。
    2. 新しいロールの名前を入力します。
    3. ロールの権限を選択および選択解除します。

      権限カテゴリをスクロールし、そのカテゴリのすべての権限または権限のサブセットを選択します。すべてのカテゴリ、選択したカテゴリ、または選択解除されたカテゴリを表示できます。すべての権限、選択された権限、または選択解除された権限を表示することもできます。詳細については事前定義された権限を参照してください。

    4. [作成] をクリックします。
    ロールをクローン作成する場合
    1. ロールを選択し、[クローン作成] をクリックします。
    2. ロールの名前を入力します。
    3. [OK] をクリックします。
    注: ロールのクローン作成中は、権限を変更できません。権限を変更するには、クローン作成されたロールを選択し、 [編集] をクリックします。

次のタスク

これで、オブジェクトを選択し、そのオブジェクトのユーザーまたはグループにロールを割り当てることによって、権限を作成できます。