vSphere では、複数のモデルがサポートされており、ユーザーがタスクを実行できるかどうかを決定できます。vCenter Single Sign-On グループのメンバーシップを使用して、ユーザーが実行できる機能を決定します。オブジェクトでのロールまたはグローバル権限によって、他のタスクを実行てきるかどうかが決定されます。
vSphere での権限の機能
vSphere では、権限を持つユーザーが他のユーザーにタスクを実行する権限を付与できます。グローバル権限またはローカルの vCenter Server 権限を使用して、それぞれの vCenter Server インスタンスに対して他のユーザーを認証できます。
次の図は、グローバル権限とローカル権限の動作を示しています。
図の中の要素
- ルート オブジェクト レベルでグローバル権限を割り当て、[子へ伝達] を選択します。
- vCenter Server は、環境内の vCenter Server 1 および vCenter Server 2 のオブジェクト階層に権限を伝達します。
- vCenter Server 2 のルート フォルダに対するローカル権限は、グローバル権限をオーバーライドします。
- vCenter Server のアクセス許可
-
vCenter Server システムの権限モデルは、オブジェクト階層内のオブジェクトに権限を割り当てることによって成立しています。ユーザーは次の方法で権限を取得します。
- ユーザーの特定の権限、またはユーザーがメンバーであるグループから
- オブジェクトに対する権限または親オブジェクトからの権限の継承
各権限によって、1 人のユーザーまたは 1 つのグループに権限のセット、すなわち、選択したオブジェクトのロールが付与されます。権限を追加するには、vSphere Client を使用します。たとえば、仮想マシンを右クリックし、[権限の追加] を選択し、ダイアログ ボックスに入力してユーザーのグループにロールを割り当てできます。そのロールによって、仮想マシン上の対応する権限がユーザーに付与されます。
- グローバル権限
- グローバル権限では、ユーザーまたはグループに、デプロイ内ソリューションの各インベントリ階層にあるすべてのオブジェクトを表示または管理する権限が与えられます。つまり、グローバル権限は、ソリューション インベントリ階層にまたがるグローバル ルート オブジェクトに適用されます。(ソリューションには vCenter Server、 VMware Aria Automation Orchestrator などが含まれます)グローバル権限は、タグやコンテンツ ライブラリなどのグローバル オブジェクトにも適用されます。たとえば、2 つのソリューション、 vCenter Server と VMware Aria Automation Orchestrator で構成されるデプロイを検討します。グローバル権限を使用して、読み取り専用権限を持つユーザーのグループにロールを割り当て、 vCenter Server オブジェクト階層と VMware Aria Automation Orchestrator オブジェクト階層の両方のすべてのオブジェクトに割り当てることができます。
- vCenter Single Sign-On グループにおけるグループ メンバーシップ
- vCenter Single Sign-On ドメイン グループのメンバーは、特定のタスクを実行できます。たとえば、LicenseService.Administrators グループのメンバーであれば、ライセンス管理を実行できます。『 vSphere の認証』ドキュメントを参照してください。
オブジェクトレベルの権限モデルについて理解する
ユーザーまたはグループが vCenter Server オブジェクトに対してタスクを実行することを許可するには、オブジェクトに対する権限を使用します。プログラムの観点から、ユーザーが操作を実行しようとすると、API メソッドが実行されます。vCenter Server は、そのメソッドのアクセス許可をチェックして、ユーザーが操作の実行を許可されているかどうかを確認します。たとえば、ユーザーがホストを追加しようとすると、AddStandaloneHost_Task メソッドが呼び出されます。このメソッドでは、ユーザーのロールに Host.Inventory.AddStandaloneHost 権限が必要です。この権限がチェックで見つからない場合、ユーザーはホストを追加する権限を拒否されます。
以下の概念が重要です。
- 権限
- vCenter Server オブジェクト階層内のオブジェクトは、それぞれが関連する権限を持ちます。各権限には、そのオブジェクトに対してグループまたはユーザーに設定される権限が、グループまたはユーザーごとに指定されます。権限は子オブジェクトへ伝達できます。
- ユーザーおよびグループ
- vCenter Server システムでは、認証されたユーザーまたはユーザー グループに対してのみ権限を付与することができます。ユーザーは vCenter Single Sign-On を介して認証されます。ユーザーとグループには、 vCenter Single Sign-On の認証に使用する ID ソースが定義されている必要があります。Active Directory などのアイデンティティ ソース内のツールを使用して、ユーザーとグループを定義します。
- 権限
- 権限とは、細かな設定が可能なアクセス制御です。これらの権限をロールとしてグループ化することで、ユーザーやグループにマッピングできるようになります。
- ロール
- ロールは権限のセットです。ロールにより、ユーザーが実行する標準的なタスク ベースのオブジェクトに、権限を割り当てることができます。管理者などのシステム ロールは vCenter Server で事前に定義されており、変更できません。 vCenter Server には、リソース プール管理者など、変更可能なデフォルトのサンプル ロールもいくつか提供されています。カスタム ロールは、一から作成するか、サンプル ロールをクローン作成し、変更することで作成できます。 vCenter Server カスタム ロールの作成を参照してください。
次の図は、権限とロールから権限が構築され、vSphere オブジェクトのユーザーまたはグループに割り当てられる方法を示しています。
- 権限を適用するオブジェクトを、vCenter Server オブジェクト階層の中で選択します。
- そのオブジェクトに対するアクセス許可を必要とするグループまたはユーザーを選択します。
- グループまたはユーザーがオブジェクトに対して持つ必要がある個別の権限、または権限のセットであるロールを選択します。
デフォルトでは、[子へ伝達] は選択されていません。選択したオブジェクトとその子オブジェクトで選択したロールを使用するには、グループまたはユーザーのチェックボックスを選択する必要があります。
vCenter Server は、頻繁に使用される権限セットを組み合わせたサンプル ロールを提供します。また、一連のロールを組み合わせて、カスタム ロールを作成することもできます。
アクセス許可をソース オブジェクトとターゲット オブジェクトの両方で定義することが必要な場合があります。たとえば、仮想マシンを移動する場合、その仮想マシンに対する権限が必要ですが、ターゲットのデータセンターに対する権限も必要になります。
目的の情報 | 参照先 |
---|---|
カスタム ロールの作成 | vCenter Server カスタム ロールの作成 |
すべての権限と、各権限を適用できるオブジェクト | 事前定義された権限 |
さまざまなオブジェクトでさまざまなタスク向けに必要な権限のセット | 一般的なタスクに必要な vCenter Server の権限 |
vCenter Server ユーザー検証について
ディレクトリ サービスを使用している vCenter Server システムは、ユーザー ディレクトリのドメインに対するユーザーとグループの検証を定期的に行います。vCenter Server の設定で指定された定期的な間隔で検証が実行されます。たとえば、いくつかのオブジェクトに対するロールを Smith というユーザーに割り当てたとします。ドメイン管理者が名前を Smith2 に変更します。ホストでは、Smith は存在しなくなったと判断され、このユーザーに関する権限は次回の検証時に vSphere オブジェクトから削除されます。
同様に、Smith というユーザーがドメインから削除された場合、次回の検証時に、Smith に関連付けられたすべてのアクセス許可が削除されます。次回の検証前に Smith という新しいユーザーがドメインに追加された場合、すべてのオブジェクトに対するアクセス許可において、古いユーザーの Smith が新しいユーザーの Smith で置換されます。
vSphere での権限の階層的な継承
オブジェクトに権限を割り当てるときに、オブジェクト階層の下に向かって権限を伝達するかどうかを選択できます。伝達は、権限ごとに設定します。伝達は、全体的には適用されません。子オブジェクトに定義された権限は、親オブジェクトから伝達された権限を常にオーバーライドします。
この図について:
- 仮想マシン、ホスト、ネットワーク、およびストレージ フォルダに直接権限を設定することはできません。つまり、これらのフォルダはコンテナとして機能し、ユーザーには表示されません。
- 標準スイッチに権限を設定することはできません。
ほとんどのインベントリ オブジェクトは、階層での単一の親から権限を継承します。たとえば、データストアは親データストア フォルダまたは親データセンターから権限を継承します。仮想マシンは、親仮想マシン フォルダと親のホスト、クラスタ、またはリソース プールの両方から同時に権限を継承します。
たとえば、Distributed Switch、およびそれに関連付けられている分散ポート グループに権限を設定するには、フォルダやデータセンターなど、親オブジェクトに権限を設定します。また、それらの権限を子オブジェクトに伝達するオプションも選択する必要があります。
階層内の権限には、いくつかの形式があります。
管理対象エンティティ
管理対象エンティティは、次の vSphere オブジェクトを参照します。管理対象エンティティでは、エンティティ タイプに応じて特定の操作を実行できます。権限のあるユーザーは、管理対象エンティティに対して権限を定義できます。vSphere オブジェクト、プロパティ、方法の詳細については、vSphere API のドキュメントを参照してください。
- クラスタ
- データセンター
- データストア
- データストア クラスタ
- フォルダ
- ホスト
- ネットワーク (vSphere Distributed Switchを除く)
- 分散ポート グループ
- リソース プール
- テンプレート
- 仮想マシン
- vSphere の vApps
グローバル エンティティ
ルート vCenter Server システムから権限を派生するエンティティの権限は変更できません。
- カスタム フィールド
- ライセンス
- ロール
- 統計間隔
- セッション