vCenter Server では、複数の VMware ソリューションに対応するグローバル ルート オブジェクトにグローバル権限が適用されます。オンプレミスの SDDC では、グローバル権限が vCenter ServerVMware Aria Automation Orchestrator の両方に及ぶ場合があります。ただし、vSphere SDDC の場合、グローバル権限は、タグやコンテンツ ライブラリなどのグローバル オブジェクトに適用されます。

ユーザーまたはグループにグローバル権限を割り当て、ユーザーまたはグループごとにロールを決定することができます。ロールによって、ユーザーまたはグループが階層内のすべてのオブジェクトに対して持つ権限のセットが決まります。事前定義されたロールを割り当てるか、カスタム ロールを作成することができます。vCenter Server ロールを使用した権限の割り当てを参照してください。

vCenter Server のアクセス許可とグローバル権限を区別することは重要です。

表 1. vCenter Server 権限とグローバル権限の違い
権限タイプ 説明
vCenter Server vCenter Server 権限は、ホスト、仮想マシン、データストアなど、インベントリ階層内の特定のオブジェクトに適用されます。vCenter Server 権限を割り当てるときは、ユーザーまたはグループがそのオブジェクトに対するロール(権限セット)を持つように指定します。
グローバル グローバル権限では、ユーザーまたはグループに、デプロイの各インベントリ階層にあるすべてのオブジェクトを表示または管理する権限が与えられます。グローバル権限は、タグやコンテンツ ライブラリなどのグローバル オブジェクトにも適用されます。タグ オブジェクトに対する vCenter Server の権限を参照してください。

グローバル権限を割り当てて [伝達] を選択しない場合、この権限に関連付けられたユーザーまたはグループは、階層内のオブジェクトにアクセスできません。これらのユーザーまたはグループは、ロールの作成などの一部のグローバル機能へのアクセス権のみを持ちます。

グローバル権限の追加

グローバル権限を使用すると、ユーザーまたはグループに、デプロイ環境のすべてのインベントリ階層のすべてのオブジェクトに対する権限を付与できます。

重要: グローバル権限は慎重に使用してくだい。すべてのインベントリ階層にあるすべてのオブジェクトに対して権限を割り当てる必要が本当にあるかどうか確認してください。

前提条件

このタスクを実行するには、すべてのインベントリ階層の ルート オブジェクトに対する 権限.権限の変更 権限が必要です。

手順

  1. vSphere Client を使用して、vCenter Server にログインします。
  2. [管理] を選択し、[アクセス コントロール] 領域で [グローバル権限] をクリックします。
  3. [追加] をクリックします。
  4. (オプション) 外部 ID プロバイダをフェデレーション認証用に構成してある場合、その ID プロバイダのドメインは [ドメイン] ドロップダウン メニューで選択できます。
  5. vSphere+ 環境で [ドメイン] ドロップダウン メニューから [VMware ID] を選択した場合は、[ユーザー名] フィールドに CSP アカウントの名前を入力します。
    注:

    [ユーザー名] フィールドに、CSP アカウントのメール アドレスを入力します。VMwareID ドメインで CSP アカウントを検索できません。

  6. 選択したロールに定義された権限を付与するユーザーまたはグループを選択します。
    1. [ドメイン] ドロップダウン メニューから、ユーザーまたはグループのドメインを選択します。
    2. [検索] ボックスに名前を入力します。
      ユーザー名およびグループ名が検索されます。
    3. ユーザーまたはグループを選択します。
  7. [ロール] ドロップダウン メニューからロールを選択します。
  8. [子へ伝達] チェック ボックスを選択して、権限を伝達するかどうかを指定します。
    グローバル権限を割り当てて [子へ伝達] を選択しない場合、この権限に関連付けられたユーザーまたはグループは、階層内のオブジェクトにアクセスできません。これらのユーザーまたはグループは、ロールの作成などの一部のグローバル機能へのアクセス権のみを持ちます。
  9. [OK] をクリックします。

タグ オブジェクトに対する vCenter Server の権限

vCenter Server オブジェクト階層では、タグ オブジェクトは vCenter Server の子でなく、vCenter Server のトップ レベルに作成されます。複数の vCenter Server インスタンスがある環境では、タグ オブジェクトは vCenter Server インスタンス全体で共有されます。タグ オブジェクトに対する権限は、vCenter Server オブジェクト階層のその他のオブジェクトに対する権限とは機能が異なります。

グローバル権限またはタグ オブジェクトに割り当てられた権限のみ適用される

仮想マシンなどの vCenter Server インベントリ オブジェクト上のユーザーに権限を付与すると、そのユーザーは権限に関連付けられたタスクを実行できるようになります。ただし、ユーザーはオブジェクト上のタグ操作を実行できません。

たとえば、ホスト TPA に vSphere タグを割り当て権限をユーザー Dana に付与しても、その権限によって Dana がホスト TPA にタグを割り当てることはできません。Dana は vSphere タグを割り当て権限をトップ レベルで取得する(つまりグローバル権限を取得する)か、そのタグ オブジェクトに対する権限を持つ必要があります。
表 2. グローバル権限およびタグ オブジェクト権限が、ユーザーの操作に与える影響
グローバル権限 タグレベル権限 vCenter Server オブジェクトレベル権限 有効な権限
タグ付け権限が割り当てられていない。 Dana には、そのタグに関して、vSphere タグを割り当てまたは割り当て解除権限がある。 Dana には、ESXi ホスト TPA における vSphere タグを削除権限がある。 Dana には、そのタグに関して、vSphere タグを割り当てまたは割り当て解除権限がある。
Dana には、vSphere タグを割り当てまたは割り当て解除権限がある。 そのタグに関する権限が割り当てられていない。 Dana には、ESXi ホスト TPA における vSphere タグを削除権限がある。 Dana には、vSphere タグを割り当てまたは割り当て解除グローバル権限がある。タグ レベルの権限を含む。
タグ付け権限が割り当てられていない。 そのタグに関する権限が割り当てられていない。 Dana には、ESXi ホスト TPA における vSphere タグを割り当てまたは割り当て解除権限がある。 Dana には、ホスト TPA をはじめ、どのオブジェクトに対してもタグ付け権限がない。

タグ オブジェクト権限を補足するグローバル権限

グローバル権限とはトップ レベル オブジェクトに関して割り当てられる権限であり、タグ オブジェクトに対する権限が制限されている場合に、タグ オブジェクトに対する権限を補足します。vCenter Server 権限は、タグ オブジェクトに影響しません。

たとえば、グローバル権限を使用して、トップ レベルでvSphere タグを削除権限をユーザー Robin に割り当てると仮定します。タグ Production に対しては、vSphere タグを削除権限を Robin に割り当てません。この場合、Robin はグローバル権限を持ち、トップレベルから伝播されるため、タグ Production に対して権限を持ちます。グローバル権限を変更しない限り、権限を制限することはできません。

表 3. タグレベル権限を補足するグローバル権限
グローバル権限 タグレベル権限 有効な権限
Robin には、vSphere タグを削除権限がある。 Robin には、そのタグに関して、vSphere タグを削除権限がない。 Robin には、vSphere タグを削除権限がある。
タグ付け権限が割り当てられていない。 Robin には、そのタグに関して、vSphere タグを削除権限が割り当てられていない。 Robin には、vSphere タグを削除権限がない。

グローバル権限を拡張できるタグレベル権限

タグレベル権限を使用して、グローバル権限を拡張できます。つまり、ユーザーは 1 つのタグに関して、グローバル権限とタグレベル権限の両方を持つことができます。

注: この動作は、 vCenter Server 権限の継承方法とは異なります。子オブジェクトに定義された vCenter Server 権限は、親オブジェクトから伝達された権限を常にオーバーライドします。
表 4. タグレベル権限を拡張するグローバル権限
グローバル権限 タグレベル権限 有効な権限
Lee には、vSphere タグを割り当てまたは割り当て解除権限がある。 Lee には、vSphere タグを削除権限がある。 Lee には、そのタグに関して、vSphere タグを割り当て権限とvSphere タグを削除権限がある。
タグ付け権限が割り当てられていない。 Lee には、そのタグに関して、vSphere タグを削除権限が割り当てられている。 Lee には、そのタグに関して、vSphere タグを削除権限がある。