vSphere では、複数のモデルがサポートされており、ユーザーがタスクを実行できるかどうかを決定できます。vCenter Single Sign-On グループのメンバーシップを使用して、ユーザーが実行できる機能を決定します。オブジェクトでのロールまたはグローバル権限によって、他のタスクを実行てきるかどうかが決定されます。

vSphere での権限の機能

vSphere では、権限を持つユーザーが他のユーザーにタスクを実行する権限を付与できます。グローバル権限またはローカルの vCenter Server 権限を使用して、それぞれの vCenter Server インスタンスに対して他のユーザーを認証できます。

次の図は、グローバル権限とローカル権限の動作を示しています。

図 1. グローバル権限とローカル権限
この図は、グローバル権限とローカル権限の動作を示しています。

図の中の要素

  1. ルート オブジェクト レベルでグローバル権限を割り当て、[子へ伝達] を選択します。
  2. vCenter Server は、環境内の vCenter Server 1 および vCenter Server 2 のオブジェクト階層に権限を伝達します。
  3. vCenter Server 2 のルート フォルダに対するローカル権限は、グローバル権限をオーバーライドします。
vCenter Server のアクセス許可

vCenter Server システムの権限モデルは、オブジェクト階層内のオブジェクトに権限を割り当てることによって成立しています。ユーザーは次の方法で権限を取得します。

  • ユーザーの特定の権限、またはユーザーがメンバーであるグループから
  • オブジェクトに対する権限または親オブジェクトからの権限の継承

各権限によって、1 人のユーザーまたは 1 つのグループに権限のセット、すなわち、選択したオブジェクトのロールが付与されます。権限を追加するには、vSphere Client を使用します。たとえば、仮想マシンを右クリックし、[権限の追加] を選択し、ダイアログ ボックスに入力してユーザーのグループにロールを割り当てできます。そのロールによって、仮想マシン上の対応する権限がユーザーに付与されます。

図 2. vSphere Client を使用した仮想マシンへのアクセス許可の追加
仮想マシンを右クリックし、[権限の追加] を選択して、[権限の追加] ダイアログ ボックスを表示します。
グローバル権限
グローバル権限では、ユーザーまたはグループに、デプロイ内ソリューションの各インベントリ階層にあるすべてのオブジェクトを表示または管理する権限が与えられます。つまり、グローバル権限は、ソリューション インベントリ階層にまたがるグローバル ルート オブジェクトに適用されます。(ソリューションには vCenter ServerVMware Aria Automation Orchestrator などが含まれます)グローバル権限は、タグやコンテンツ ライブラリなどのグローバル オブジェクトにも適用されます。たとえば、2 つのソリューション、 vCenter ServerVMware Aria Automation Orchestrator で構成されるデプロイを検討します。グローバル権限を使用して、読み取り専用権限を持つユーザーのグループにロールを割り当て、 vCenter Server オブジェクト階層と VMware Aria Automation Orchestrator オブジェクト階層の両方のすべてのオブジェクトに割り当てることができます。
グローバル権限は、vCenter Single Sign-On ドメイン全体にレプリケートされます(デフォルトでは vsphere.local)。グローバル権限は、vCenter Single Sign-On ドメイン グループを介して管理されるサービスの認可を提供しません。 vCenter Server グローバル権限の使用を参照してください。
vCenter Single Sign-On グループにおけるグループ メンバーシップ
vCenter Single Sign-On ドメイン グループのメンバーは、特定のタスクを実行できます。たとえば、LicenseService.Administrators グループのメンバーであれば、ライセンス管理を実行できます。『 vSphere の認証』ドキュメントを参照してください。
ESXi ローカル ホストのアクセス許可
vCenter Server システムに管理されないスタンドアロンの ESXi ホストを管理している場合は、事前定義されたロールの 1 つをユーザーに割り当てることができます。『 vSphere の単一ホスト管理:VMware Host Client』ドキュメントを参照してください。
管理対象ホストの場合、 vCenter Server インベントリ内の ESXi ホスト オブジェクトにロールを割り当てます。

オブジェクトレベルの権限モデルについて理解する

ユーザーまたはグループが vCenter Server オブジェクトに対してタスクを実行することを許可するには、オブジェクトに対する権限を使用します。プログラムの観点から、ユーザーが操作を実行しようとすると、API メソッドが実行されます。vCenter Server は、そのメソッドのアクセス許可をチェックして、ユーザーが操作の実行を許可されているかどうかを確認します。たとえば、ユーザーがホストを追加しようとすると、AddStandaloneHost_Task メソッドが呼び出されます。このメソッドでは、ユーザーのロールに Host.Inventory.AddStandaloneHost 権限が必要です。この権限がチェックで見つからない場合、ユーザーはホストを追加する権限を拒否されます。

以下の概念が重要です。

権限
vCenter Server オブジェクト階層内のオブジェクトは、それぞれが関連する権限を持ちます。各権限には、そのオブジェクトに対してグループまたはユーザーに設定される権限が、グループまたはユーザーごとに指定されます。権限は子オブジェクトへ伝達できます。
ユーザーおよびグループ
vCenter Server システムでは、認証されたユーザーまたはユーザー グループに対してのみ権限を付与することができます。ユーザーは vCenter Single Sign-On を介して認証されます。ユーザーとグループには、 vCenter Single Sign-On の認証に使用する ID ソースが定義されている必要があります。Active Directory などのアイデンティティ ソース内のツールを使用して、ユーザーとグループを定義します。
権限
権限とは、細かな設定が可能なアクセス制御です。これらの権限をロールとしてグループ化することで、ユーザーやグループにマッピングできるようになります。
ロール
ロールは権限のセットです。ロールにより、ユーザーが実行する標準的なタスク ベースのオブジェクトに、権限を割り当てることができます。管理者などのシステム ロールは vCenter Server で事前に定義されており、変更できません。 vCenter Server には、リソース プール管理者など、変更可能なデフォルトのサンプル ロールもいくつか提供されています。カスタム ロールは、一から作成するか、サンプル ロールをクローン作成し、変更することで作成できます。 vCenter Server カスタム ロールの作成を参照してください。

次の図は、権限とロールから権限が構築され、vSphere オブジェクトのユーザーまたはグループに割り当てられる方法を示しています。

図 3. vSphere の権限
複数の権限を組み合わせることでロールが形成されます。ロールは、ユーザーまたはグループに割り当てられます。
アクセス許可をオブジェクトに割り当てるには、次の手順に従います。
  1. 権限を適用するオブジェクトを、vCenter Server オブジェクト階層の中で選択します。
  2. そのオブジェクトに対するアクセス許可を必要とするグループまたはユーザーを選択します。
  3. グループまたはユーザーがオブジェクトに対して持つ必要がある個別の権限、または権限のセットであるロールを選択します。

    デフォルトでは、[子へ伝達] は選択されていません。選択したオブジェクトとその子オブジェクトで選択したロールを使用するには、グループまたはユーザーのチェックボックスを選択する必要があります。

vCenter Server は、頻繁に使用される権限セットを組み合わせたサンプル ロールを提供します。また、一連のロールを組み合わせて、カスタム ロールを作成することもできます。

アクセス許可をソース オブジェクトとターゲット オブジェクトの両方で定義することが必要な場合があります。たとえば、仮想マシンを移動する場合、その仮想マシンに対する権限が必要ですが、ターゲットのデータセンターに対する権限も必要になります。

次の情報を参照してください。
目的の情報 参照先
カスタム ロールの作成 vCenter Server カスタム ロールの作成
すべての権限と、各権限を適用できるオブジェクト 事前定義された権限
さまざまなオブジェクトでさまざまなタスク向けに必要な権限のセット 一般的なタスクに必要な vCenter Server の権限
スタンドアロンの ESXi ホストのアクセス許可モデルは、これより簡単です。 ESXi ホストの権限の割り当てを参照してください。

vCenter Server ユーザー検証について

ディレクトリ サービスを使用している vCenter Server システムは、ユーザー ディレクトリのドメインに対するユーザーとグループの検証を定期的に行います。vCenter Server の設定で指定された定期的な間隔で検証が実行されます。たとえば、いくつかのオブジェクトに対するロールを Smith というユーザーに割り当てたとします。ドメイン管理者が名前を Smith2 に変更します。ホストでは、Smith は存在しなくなったと判断され、このユーザーに関する権限は次回の検証時に vSphere オブジェクトから削除されます。

同様に、Smith というユーザーがドメインから削除された場合、次回の検証時に、Smith に関連付けられたすべてのアクセス許可が削除されます。次回の検証前に Smith という新しいユーザーがドメインに追加された場合、すべてのオブジェクトに対するアクセス許可において、古いユーザーの Smith が新しいユーザーの Smith で置換されます。

vSphere での権限の階層的な継承

オブジェクトに権限を割り当てるときに、オブジェクト階層の下に向かって権限を伝達するかどうかを選択できます。伝達は、権限ごとに設定します。伝達は、全体的には適用されません。子オブジェクトに定義された権限は、親オブジェクトから伝達された権限を常にオーバーライドします。

次の図に、vSphere のインベントリ階層と、権限を伝達できるパスを示します。
注: グローバル権限では、グローバル ルート オブジェクトから複数のソリューションに渡り権限を割り当てることができます。 vCenter Server グローバル権限の使用を参照してください。
図 4. vSphere のインベントリ階層
この図は、親オブジェクトから子オブジェクトへの、vSphere のインベントリ階層内の権限の継承を示しています。

この図について:

  • 仮想マシン、ホスト、ネットワーク、およびストレージ フォルダに直接権限を設定することはできません。つまり、これらのフォルダはコンテナとして機能し、ユーザーには表示されません。
  • 標準スイッチに権限を設定することはできません。
注: vSphere Distributed Switch (VDS) の子に権限を設定して伝達できるようにするには、データセンターに作成されたネットワーク フォルダにスイッチ オブジェクトが存在する必要があります。

ほとんどのインベントリ オブジェクトは、階層での単一の親から権限を継承します。たとえば、データストアは親データストア フォルダまたは親データセンターから権限を継承します。仮想マシンは、親仮想マシン フォルダと親のホスト、クラスタ、またはリソース プールの両方から同時に権限を継承します。

たとえば、Distributed Switch、およびそれに関連付けられている分散ポート グループに権限を設定するには、フォルダやデータセンターなど、親オブジェクトに権限を設定します。また、それらの権限を子オブジェクトに伝達するオプションも選択する必要があります。

階層内の権限には、いくつかの形式があります。

管理対象エンティティ

管理対象エンティティは、次の vSphere オブジェクトを参照します。管理対象エンティティでは、エンティティ タイプに応じて特定の操作を実行できます。権限のあるユーザーは、管理対象エンティティに対して権限を定義できます。vSphere オブジェクト、プロパティ、方法の詳細については、vSphere API のドキュメントを参照してください。

  • クラスタ
  • データセンター
  • データストア
  • データストア クラスタ
  • フォルダ
  • ホスト
  • ネットワーク (vSphere Distributed Switchを除く)
  • 分散ポート グループ
  • リソース プール
  • テンプレート
  • 仮想マシン
  • vSphere の vApps

グローバル エンティティ

ルート vCenter Server システムから権限を派生するエンティティの権限は変更できません。

  • カスタム フィールド
  • ライセンス
  • ロール
  • 統計間隔
  • セッション