vSphere では、権限とは、ロールにグループ化してユーザーまたはグループにマッピングできる、きめ細かいアクセス制御のことです。権限レコーダーは、vCenter Server ワークフローの実行に必要な最小限の権限セットを特定するのに役立ちます。
特定の一連の操作を実行する場合、ユーザーが必要とする最小限の権限セットを判別することは非常に困難です。権限には、特定のワークフローとの 1 対 1 のマッピングがないため、通常構成されている、それぞれのオブジェクトで動作するさまざまな API に対する複数の呼び出しが含まれていません。その結果、環境に対するユーザー アクセスが多くなったり、極端に少なくなったりします。環境のセキュリティを確保するという目的がある場合、権限レコーダー機能を使用すると、vCenter Server ワークフローの実行に必要な最小限の権限セットを特定できます。これにより、操作の実行中に確認された権限を監視およびクエリすることができます。権限レコーダーは、REST API を使用して実装されます。
注: この機能は API として使用でき、スクリプトによって実行されるワークフローのみがサポートされています。権限レコーダーではユーザー インターフェイスがサポートされていません。
ListAPI をクエリすることで、対応するセッション、ユーザー、管理対象オブジェクト、および操作 ID (opID) を含む権限チェックのリストを取得できます。適切なフィルタを使用して、特定のワークフローの権限を取得できます。
たとえば、ユーザー A が仮想マシンを作成する必要があるとします。仮想マシンを作成するには、特定の権限セットが必要です。ユーザー A は、システム管理者に権限を要求する必要があります。システム管理者は、権限レコーダーを有効にして、仮想マシンの作成操作を実行できます。権限チェックを実行している間に、仮想マシンの作成操作中にチェックされた権限のデータが保存されます。保存されるデータは、PrivilegeID、sessionID、OpID などです。この例では、このシステム管理者はフィルタを使用して仮想マシン作成ワークフローの権限を取得します。これで、システム管理者は必要最小限の権限を持つロールを作成し、ユーザーに割り当てることができるようになりました。