vCenter Server では、複数の VMware ソリューションに対応するグローバル ルート オブジェクトにグローバル権限が適用されます。オンプレミスの SDDC では、グローバル権限が vCenter Server と VMware Aria Automation Orchestrator の両方に及ぶ場合があります。ただし、vSphere SDDC の場合、グローバル権限は、タグやコンテンツ ライブラリなどのグローバル オブジェクトに適用されます。
ユーザーまたはグループにグローバル権限を割り当て、ユーザーまたはグループごとにロールを決定することができます。ロールによって、ユーザーまたはグループが階層内のすべてのオブジェクトに対して持つ権限のセットが決まります。事前定義されたロールを割り当てるか、カスタム ロールを作成することができます。vCenter Server ロールを使用した権限の割り当てを参照してください。
vCenter Server のアクセス許可とグローバル権限を区別することは重要です。
| 権限タイプ | 説明 |
|---|---|
| vCenter Server | vCenter Server 権限は、ホスト、仮想マシン、データストアなど、インベントリ階層内の特定のオブジェクトに適用されます。vCenter Server 権限を割り当てるときは、ユーザーまたはグループがそのオブジェクトに対するロール(権限セット)を持つように指定します。 |
| グローバル | グローバル権限では、ユーザーまたはグループに、デプロイの各インベントリ階層にあるすべてのオブジェクトを表示または管理する権限が与えられます。グローバル権限は、タグやコンテンツ ライブラリなどのグローバル オブジェクトにも適用されます。タグ オブジェクトに対する vCenter Server の権限を参照してください。 グローバル権限を割り当てて [伝達] を選択しない場合、この権限に関連付けられたユーザーまたはグループは、階層内のオブジェクトにアクセスできません。これらのユーザーまたはグループは、ロールの作成などの一部のグローバル機能へのアクセス権のみを持ちます。 |
グローバル権限の追加
グローバル権限を使用すると、ユーザーまたはグループに、デプロイ環境のすべてのインベントリ階層のすべてのオブジェクトに対する権限を付与できます。
前提条件
このタスクを実行するには、すべてのインベントリ階層の ルート オブジェクトに対する 権限が必要です。
手順
タグ オブジェクトに対する vCenter Server の権限
vCenter Server オブジェクト階層では、タグ オブジェクトは vCenter Server の子でなく、vCenter Server のトップ レベルに作成されます。複数の vCenter Server インスタンスがある環境では、タグ オブジェクトは vCenter Server インスタンス全体で共有されます。タグ オブジェクトに対する権限は、vCenter Server オブジェクト階層のその他のオブジェクトに対する権限とは機能が異なります。
グローバル権限またはタグ オブジェクトに割り当てられた権限のみ適用される
仮想マシンなどの vCenter Server インベントリ オブジェクト上のユーザーに権限を付与すると、そのユーザーは権限に関連付けられたタスクを実行できるようになります。ただし、ユーザーはオブジェクト上のタグ操作を実行できません。
| グローバル権限 | タグレベル権限 | vCenter Server オブジェクトレベル権限 | 有効な権限 |
|---|---|---|---|
| タグ付け権限が割り当てられていない。 | Dana には、そのタグに関して、vSphere タグを割り当てまたは割り当て解除権限がある。 | Dana には、ESXi ホスト TPA における vSphere タグを削除権限がある。 | Dana には、そのタグに関して、vSphere タグを割り当てまたは割り当て解除権限がある。 |
| Dana には、vSphere タグを割り当てまたは割り当て解除権限がある。 | そのタグに関する権限が割り当てられていない。 | Dana には、ESXi ホスト TPA における vSphere タグを削除権限がある。 | Dana には、vSphere タグを割り当てまたは割り当て解除グローバル権限がある。タグ レベルの権限を含む。 |
| タグ付け権限が割り当てられていない。 | そのタグに関する権限が割り当てられていない。 | Dana には、ESXi ホスト TPA における vSphere タグを割り当てまたは割り当て解除権限がある。 | Dana には、ホスト TPA をはじめ、どのオブジェクトに対してもタグ付け権限がない。 |
タグ オブジェクト権限を補足するグローバル権限
グローバル権限とはトップ レベル オブジェクトに関して割り当てられる権限であり、タグ オブジェクトに対する権限が制限されている場合に、タグ オブジェクトに対する権限を補足します。vCenter Server 権限は、タグ オブジェクトに影響しません。
たとえば、グローバル権限を使用して、トップ レベルでvSphere タグを削除権限をユーザー Robin に割り当てると仮定します。タグ Production に対しては、vSphere タグを削除権限を Robin に割り当てません。この場合、Robin はグローバル権限を持ち、トップレベルから伝播されるため、タグ Production に対して権限を持ちます。グローバル権限を変更しない限り、権限を制限することはできません。
| グローバル権限 | タグレベル権限 | 有効な権限 |
|---|---|---|
| Robin には、vSphere タグを削除権限がある。 | Robin には、そのタグに関して、vSphere タグを削除権限がない。 | Robin には、vSphere タグを削除権限がある。 |
| タグ付け権限が割り当てられていない。 | Robin には、そのタグに関して、vSphere タグを削除権限が割り当てられていない。 | Robin には、vSphere タグを削除権限がない。 |
グローバル権限を拡張できるタグレベル権限
タグレベル権限を使用して、グローバル権限を拡張できます。つまり、ユーザーは 1 つのタグに関して、グローバル権限とタグレベル権限の両方を持つことができます。
| グローバル権限 | タグレベル権限 | 有効な権限 |
|---|---|---|
| Lee には、vSphere タグを割り当てまたは割り当て解除権限がある。 | Lee には、vSphere タグを削除権限がある。 | Lee には、そのタグに関して、vSphere タグを割り当て権限とvSphere タグを削除権限がある。 |
| タグ付け権限が割り当てられていない。 | Lee には、そのタグに関して、vSphere タグを削除権限が割り当てられている。 | Lee には、そのタグに関して、vSphere タグを削除権限がある。 |
