vCenter Server 環境のセキュリティと管理性を最大限に高めるため、ロールと権限のベスト プラクティスに準拠してください。
vCenter Server 環境のロールと権限を設定するときは、次のベスト プラクティスを実施してください。
- 可能であれば、個々のユーザーではなく、グループにロールを割り当てます。
- アクセス許可が必要なオブジェクトにのみアクセス許可を付与し、権限が持つ必要があるユーザーまたはグループに対してのみ権限を割り当てます。使用する権限の数を最小限にすることで、権限の構造が分かりやすくなり、管理が簡単になります。
- 制限付きロールをグループに割り当てる場合は、そのグループにシステム管理者ユーザーまたはその他の管理権限を持つユーザーが含まれていないことを確認してください。含まれている場合、グループに制限付きロールを割り当てたインベントリ階層の一部で、管理者の権限が誤って制限される可能性があります。
- オブジェクトをフォルダにグループ化して、権限を割り当てやすくします。たとえば、1 つのホスト セットに変更権限を付与し、別のホスト セットに表示権限を付与する場合は、各ホスト セットを 1 つのフォルダに格納します。
- ルートの vCenter Server オブジェクトにアクセス許可を追加する場合は、注意してください。ルート レベルの権限を持つユーザーは、ロール、カスタム属性、vCenter Server の設定など、vCenter Server 上のグローバル データにアクセスできます。
- オブジェクトに権限を割り当てるときに伝達を有効にすることを検討してください。伝達により、オブジェクト階層内の新規オブジェクトで権限が確実に継承されます。たとえば、仮想マシン フォルダに権限を割り当てて、伝達を有効にすると、権限がフォルダ内のすべての仮想マシンに確実に適用されます。
- 階層内の特定の領域をマスクするには、アクセスなしロールを使用します。アクセスなしロールは、そのロールを持つユーザーまたはグループに対し、アクセスを制限します。ただし、仮想マシンと vApp の場合、2 つの権限伝達チェーンがあります。アクセスなしロールを持つ伝達権限をどちらか一方のチェーンに割り当てたからといって、それぞれの vApp または仮想マシンに伝達される権限がまったくない、というわけではありません。
- ライセンスへの変更は、同じ vCenter Single Sign-On ドメイン内のリンクされたすべての vCenter Server システムに伝達されます。
- ライセンスの伝達は、すべての vCenter Server システムでユーザーが権限を持っていない場合にも発生します。