vCenter Server 역할을 사용하여 권한 할당

vCenter Server에서 역할은 작업을 수행하고 속성을 읽을 수 있는 권한을 정의하는 미리 정의된 권한 집합입니다. 사용 권한은 개체의 사용자 또는 그룹에 역할을 할당하여 생성합니다. vCenter Server는 기본적으로 시스템 역할 및 샘플 역할을 제공합니다. 사용자 지정 역할을 생성할 수도 있습니다.

vCenter Server에서 사용 권한 할당

vCenter Server에서 사용 권한을 할당할 때 사용자 또는 그룹을 역할과 쌍으로 구성하고 해당 쌍을 인벤토리 개체와 연결합니다. 예를 들어 가상 시스템 사용자 샘플 역할을 사용하여 사용자가 가상 시스템 특성을 읽고 변경하도록 허용할 수 있습니다.

단일 사용자 또는 그룹은 인벤토리에 있는 서로 다른 개체에 대해 각기 다른 역할을 가질 수 있습니다. 예를 들어 인벤토리에 풀 A와 풀 B라는 2개의 리소스 풀이 있는 경우 Sales 그룹에게 풀 A에는 가상 시스템 사용자 샘플 역할을 할당하고 풀 B에는 읽기 전용 역할을 할당할 수 있습니다. 이렇게 할당된 경우 Sales 그룹의 사용자는 풀 A에 있는 가상 시스템을 켤 수 있지만 풀 B에 있는 가상 시스템은 볼 수만 있습니다.

사용자는 작업이 생성되는 시점에 해당 작업을 수행할 권한이 포함된 역할을 가지고 있는 작업만 스케줄링할 수 있습니다.

미리 정의된 vCenter Server 역할 소개

vCenter Server에는 다음 표와 같이 미리 정의된 역할이 제공됩니다.

표 1. 미리 정의된 vCenter Server 역할
역할 유형	역할 이름	설명
시스템	관리자, 읽기 전용, 권한 없음.	시스템 역할은 영구적입니다. 시스템 역할을 삭제하거나 이러한 역할과 연결된 권한을 편집할 수 없습니다. 시스템 역할은 계층 구조로 구성됩니다. 각 역할은 이전 역할의 권한을 상속합니다. 예를 들어 관리자 역할은 읽기 전용 역할의 권한을 상속합니다. 시스템 역할에 대한 자세한 내용은 다음 섹션을 참조하십시오.
샘플	vSphere는 AutoUpdateUser, 리소스 풀 관리자 및 가상 시스템 사용자와 같은 다양한 샘플 역할을 제공합니다.	vSphere는 자주 수행되는 특정 작업 조합에 대한 샘플 역할을 제공합니다. 이러한 역할은 복제하거나 수정하거나 제거할 수 있습니다. 참고: 샘플 역할의 미리 정의된 설정을 손실하지 않으려면 먼저 역할을 복제한 후 복제본을 수정합니다. 샘플을 기본 설정으로 재설정할 수 없습니다.

역할과 연결된 권한을 보려면 vSphere Client에서 해당 역할로 이동한 후(메뉴 > 관리 > 역할) 권한 탭을 클릭합니다.

모든 vSphere 권한 및 설명을 보려면 정의된 권한의 내용을 참조하십시오.

참고: 역할 및 권한에 대한 변경 사항은 관련된 사용자가 로그인되어 있더라도 즉시 적용됩니다. 검색의 경우에는 예외이며, 이 경우에는 사용자가 로그아웃했다가 다시 로그인해야 변경 사항이 적용됩니다.

vCenter Server 시스템 역할

시스템 역할은 변경하거나 삭제할 수 없습니다.

관리자 역할: 개체에 대한 관리자 역할을 가진 사용자는 해당 개체에 대한 모든 작업을 보고 수행할 수 있습니다. 이 역할에는 읽기 전용 역할의 모든 권한도 포함됩니다. 개체에 대한 관리자 역할이 있는 경우 개별 사용자 및 그룹에 권한을 할당할 수 있습니다.; vCenter Server에서 관리자 역할로 수행하는 경우 기본 vCenter Single Sign-On ID 소스의 사용자 및 그룹에 권한을 할당할 수 있습니다. 지원되는 ID 서비스는 " vSphere 인증" 설명서를 참조하십시오.; 설치가 완료되면 기본적으로 [email protected] 사용자는 vCenter Single Sign-On과 vCenter Server 모두에서 관리자 역할을 갖습니다. 그런 다음 해당 사용자는 다른 사용자를 vCenter Server에 대한 관리자 역할과 연결할 수 있습니다.
팁: 가장 좋은 방법은 루트 수준에서 사용자를 생성하고 해당 사용자에게 관리자 역할을 할당하는 것입니다. 관리자 권한을 가진 명명된 사용자를 생성한 후 모든 사용 권한에서 루트 사용자를 제거하거나 해당 역할을 권한 없음으로 변경할 수 있습니다.
읽기 전용 역할: 개체에 대해 읽기 전용 역할을 가진 사용자는 개체의 상태 및 개체에 대한 세부 정보를 볼 수 있습니다. 예를 들어 이 역할을 가진 사용자는 가상 시스템, 호스트 및 리소스 풀 특성을 볼 수 있지만 호스트의 원격 콘솔을 볼 수 없습니다. 메뉴 및 도구 모음을 통한 모든 작업은 허용되지 않습니다.
권한 없음 역할: 개체에 대해 권한 없음 역할을 가진 사용자는 어떠한 방법으로든 개체를 보거나 변경할 수 없습니다. 기본적으로 새 사용자 및 그룹은 이 역할이 할당됩니다. 개체별로 역할을 변경할 수 있습니다.; vCenter Single Sign-On 도메인(기본적으로 [email protected])의 관리자, 루트 사용자 및 vpxuser에게는 기본적으로 관리자 역할이 할당됩니다. 다른 사용자에게는 기본적으로 권한 없음 역할이 할당됩니다.

vCenter Server 및 ESXi의 사용자 지정 역할

vCenter Server 및 vCenter Server가 관리하는 모든 개체에 대한 사용자 지정 역할이나 개별 호스트에 대한 사용자 지정 역할을 생성할 수 있습니다.

vCenter Server 사용자 지정 역할(권장): vSphere Client의 역할 편집 기능을 사용하여 사용자 지정 역할을 생성하면 사용자의 필요에 맞는 권한 집합을 생성할 수 있습니다.
ESXi 사용자 지정 역할: CLI 또는 VMware Host Client를 사용하여 개별 호스트에 대한 사용자 지정 역할을 생성할 수 있습니다. " vSphere 단일 호스트 관리 - VMware Host Client" 설명서를 참조하십시오. vCenter Server에서는 사용자 지정 호스트 역할에 액세스할 수 없습니다.; vCenter Server를 통해 ESXi 호스트를 관리하는 경우 호스트와 vCenter Server 모두에 사용자 지정 역할을 유지하지 마십시오. vCenter Server 수준에서 역할을 정의합니다.

vCenter Server를 사용하여 호스트를 관리할 때는 해당 호스트와 연결된 사용 권한이 vCenter Server를 통해 생성되고 vCenter Server에 저장됩니다. 호스트에 직접 연결할 경우에는 호스트에서 직접 생성된 역할만 사용할 수 있습니다.

참고: 사용자 지정 역할을 추가하고 역할에 권한을 할당하지 않을 경우 해당 역할이 3가지 시스템 정의 권한( 시스템.익명, 시스템.보기, 시스템.읽기)을 갖는 읽기 전용 역할로 생성됩니다. 이러한 권한은 vSphere Client에 표시되지 않지만 일부 관리 개체의 특정 속성을 읽는 데 사용됩니다. vCenter Server에 미리 정의된 모든 역할에는 이러한 3가지 시스템 정의 권한이 포함되어 있습니다. 자세한 내용은 " vSphere Web Services API" 설명서를 참조하십시오.

vCenter Server 사용자 지정 역할 생성

환경의 액세스 제어 요구에 맞게 vCenter Server 사용자 지정 역할을 생성할 수 있습니다. 역할을 생성하거나 기존 역할을 복제할 수 있습니다.

다른 vCenter Server 시스템과 동일한 vCenter Single Sign-On 도메인의 일부인 vCenter Server 시스템에서 역할을 생성 또는 편집할 수 있습니다. 이 경우 VMware Directory Service(vmdir)는 역할 변경 사항을 그룹 내의 다른 모든 vCenter Server 시스템에 전파합니다. 특정 사용자 및 개체에 대한 역할 할당은 vCenter Server 시스템 간에 공유되지 않습니다.

사전 요구 사항

역할을 생성하는 vCenter Server 시스템에 대한 관리자 권한이 있는지 확인합니다.

프로시저

vSphere Client를 사용하여 vCenter Server에 로그인합니다.
관리를 선택하고 액세스 제어 영역에서 역할을 클릭합니다.

역할을 생성합니다.

옵션	설명
역할을 생성하려면	새로 만들기를 클릭합니다. 새 역할의 이름을 입력합니다. 역할에 대한 권한을 선택하거나 선택 취소합니다. 권한 범주를 스크롤하고 해당 범주에 대한 모든 권한 또는 권한의 하위 집합을 선택합니다. 모든 범주, 선택된 범주 또는 선택되지 않은 범주를 표시할 수 있습니다. 모든 권한, 선택된 권한 또는 선택되지 않은 권한을 표시할 수도 있습니다. 자세한 내용은 정의된 권한의 내용을 참조하십시오. 생성을 클릭합니다.
복제하여 역할을 생성하려면	역할을 선택하고 복제를 클릭합니다. 역할의 이름을 입력합니다. 확인을 클릭합니다. 참고: 복제된 역할을 생성할 때는 권한을 변경할 수 없습니다. 권한을 변경하려면 복제된 역할을 선택하고 편집을 클릭합니다.

옵션

설명

역할을 생성하려면

새로 만들기를 클릭합니다.
새 역할의 이름을 입력합니다.
역할에 대한 권한을 선택하거나 선택 취소합니다.
권한 범주를 스크롤하고 해당 범주에 대한 모든 권한 또는 권한의 하위 집합을 선택합니다. 모든 범주, 선택된 범주 또는 선택되지 않은 범주를 표시할 수 있습니다. 모든 권한, 선택된 권한 또는 선택되지 않은 권한을 표시할 수도 있습니다. 자세한 내용은 정의된 권한의 내용을 참조하십시오.
생성을 클릭합니다.

복제하여 역할을 생성하려면

역할을 선택하고 복제를 클릭합니다.
역할의 이름을 입력합니다.
확인을 클릭합니다.

참고: 복제된 역할을 생성할 때는 권한을 변경할 수 없습니다. 권한을 변경하려면 복제된 역할을 선택하고 편집을 클릭합니다.

다음에 수행할 작업

이제 개체를 선택하고 해당 개체의 사용자 또는 그룹에 역할을 할당하여 사용 권한을 생성할 수 있습니다.