vSphere는 사용자가 작업을 수행할 수 있는지 여부를 결정하기 위한 여러 모델을 지원합니다. vCenter Single Sign-On 그룹의 그룹 멤버 자격은 사용자가 수행할 수 있는 작업을 결정합니다. 개체에 대한 역할 또는 글로벌 사용 권한에 따라 다른 작업을 수행할 수 있는지 여부가 결정됩니다.
vSphere에서 사용 권한이 작동하는 방식
vSphere에서는 권한이 있는 사용자가 다른 사용자에게 작업을 수행할 수 있는 사용 권한을 할당할 수 있습니다. 글로벌 사용 권한을 사용하거나, 로컬 vCenter Server 사용 권한을 사용하여 개별 vCenter Server 인스턴스에 대한 권한을 다른 사용자에게 부여할 수 있습니다.
다음 그림은 글로벌 사용 권한과 로컬 사용 권한의 작동 방식에 대해 설명합니다.
이 그림에서:
- [하위 항목으로 전파]를 선택한 상태로 루트 개체 수준에서 글로벌 사용 권한을 할당합니다.
- vCenter Server가 환경의 vCenter Server 1 및 vCenter Server 2 개체 계층에 사용 권한을 전파합니다.
- vCenter Server 2의 루트 폴더에 대한 로컬 사용 권한이 글로벌 사용 권한을 재정의합니다.
- vCenter Server 사용 권한
-
vCenter Server 시스템의 사용 권한 모델은 개체 계층의 계체에 대한 사용 권한 할당을 사용합니다. 사용자는 다음과 같은 방법으로 사용 권한을 가져옵니다.
- 사용자에 대한 특정 사용 권한에서 또는 사용자가 멤버로 있는 그룹에서
- 개체에 대한 사용 권한에서 또는 상위 개체의 사용 권한 상속을 통해
각 사용 권한은 하나의 사용자 또는 그룹에 일련의 권한, 즉 선택된 개체에 대한 역할을 부여합니다. vSphere Client를 사용하여 사용 권한을 추가할 수 있습니다. 예를 들어 가상 시스템을 마우스 오른쪽 버튼으로 클릭하고 사용 권한 추가를 선택한 다음 대화상자를 완료하면 사용자 그룹에 역할을 추가할 수 있습니다. 이 역할을 통해 해당 사용자에게 해당 가상 시스템에 대한 권한이 부여됩니다.
- 글로벌 사용 권한
- 글로벌 사용 권한은 배포 내 솔루션의 각 인벤토리 계층에 있는 모든 개체를 보거나 관리할 수 있는 권한을 사용자 또는 그룹에 부여합니다. 즉, 글로벌 사용 권한은 솔루션 인벤토리 계층에 걸쳐 있는 글로벌 루트 개체에 적용됩니다. (솔루션에는 vCenter Server, VMware Aria Automation Orchestrator 등이 포함됩니다.) 글로벌 사용 권한은 태그 및 컨텐츠 라이브러리와 같은 글로벌 개체에도 적용됩니다. 예를 들어 vCenter Server 및 VMware Aria Automation Orchestrator의 두 개 솔루션으로 구성된 배포를 고려합니다. 글로벌 사용 권한을 사용하여 vCenter Server 및 VMware Aria Automation Orchestrator 개체 계층의 모든 개체에 대해 읽기 전용 권한이 있는 사용자 그룹에 역할을 할당할 수 있습니다.
- vCenter Single Sign-On 그룹의 그룹 멤버 자격
- vCenter Single Sign-On 도메인 그룹의 멤버는 특정 작업을 수행할 수 있습니다. 예를 들어 LicenseService.Administrators 그룹의 멤버인 경우 라이센스 관리를 수행할 수 있습니다. " vSphere 인증" 설명서를 참조하십시오.
개체 수준 사용 권한 모델 이해
개체에 대한 사용 권한을 사용하여 vCenter Server 개체에 대한 작업 수행 권한을 사용자 또는 그룹에 부여합니다. 프로그래밍 관점에서 사용자가 작업을 수행하려고 하면 API 메서드가 실행됩니다. vCenter Server는 해당 메서드에 대한 사용 권한을 검사하여 사용자에게 작업을 수행할 권한이 있는지 확인합니다. 예를 들어 사용자가 호스트를 추가하려고 하면 AddStandaloneHost_Task 메소드가 호출됩니다. 이 메서드를 사용하려면 사용자의 역할에 Host.Inventory.AddStandaloneHost 권한이 있어야 합니다. 검사에서 이 권한을 찾지 못하면 사용자는 호스트를 추가할 수 있는 사용 권한이 거부됩니다.
다음 개념이 중요합니다.
- 사용 권한
- vCenter Server 개체 계층의 각 개체에는 연결된 사용 권한이 있습니다. 각 사용 권한은 그룹 또는 사용자가 개체에 대한 권한을 가지고 있는 하나의 그룹 또는 사용자에 대해 지정됩니다. 사용 권한은 하위 개체에 전파될 수 있습니다.
- 사용자 및 그룹
- vCenter Server 시스템에서, 인증된 사용자 또는 인증된 사용자의 그룹에만 권한을 할당할 수 있습니다. 사용자는 vCenter Single Sign-On을 통해 인증됩니다. vCenter Single Sign-On이 인증하는 데 사용하는 ID 소스에 사용자 및 그룹을 정의해야 합니다. Active Directory와 같은 ID 소스에서 도구를 사용하여 사용자 및 그룹을 정의합니다.
- 권한
- 권한은 세분화된 액세스 제어입니다. 이러한 권한을 역할로 그룹화한 다음 사용자 또는 그룹에 매핑할 수 있습니다.
- 역할
- 역할은 권한의 집합입니다. 역할을 사용하여 사용자가 수행하는 일련의 일반 작업을 기반으로 개체에 대한 사용 권한을 할당할 수 있습니다. 관리자와 같은 시스템 역할은 vCenter Server에 미리 정의되어 있으며 변경할 수 없습니다. vCenter Server는 수정할 수 있는 몇 가지 기본 샘플 역할(예: 리소스 풀 관리자)도 제공합니다. 사용자 지정 역할은 처음부터 생성하거나 샘플 역할을 복제 및 수정하여 생성할 수 있습니다. vCenter Server 사용자 지정 역할 생성의 내용을 참조하십시오.
다음 그림은 권한 및 역할에서 사용 권한이 구성되고 vSphere 개체의 사용자 또는 그룹에 사용 권한이 할당되는 방식을 설명합니다.
- vCenter Server 개체 계층에서 사용 권한을 적용할 개체를 선택합니다.
- 개체에 대한 권한을 가져야 하는 그룹 또는 사용자를 선택합니다.
- 개체에 대해 그룹 또는 사용자가 가져야 하는 개별 권한 또는 역할(일련의 권한)을 선택합니다.
기본적으로 [하위 항목으로 전파]는 선택되지 않습니다. 해당 확인란을 선택해야 그룹 또는 사용자가 선택된 개체와 그 하위 개체에 대해 선택된 역할을 가집니다.
vCenter Server는 자주 사용되는 권한 집합이 결합된 샘플 역할을 제공합니다. 역할 집합을 결합하여 사용자 지정 역할을 생성할 수도 있습니다.
많은 경우 소스 개체 및 대상 개체 모두에 대해 사용 권한을 정의해야 합니다. 예를 들어, 가상 시스템을 이동하는 경우 가상 시스템에 대한 권한이 필요하며 대상 데이터 센터에 대한 권한도 필요합니다.
참조 내용 | 참조 위치 |
---|---|
사용자 지정 역할 생성 | vCenter Server 사용자 지정 역할 생성 |
모든 권한 그리고 권한을 적용할 수 있는 개체 | 정의된 권한 |
다양한 작업을 위해 다양한 개체에 필요한 권한 집합 | 일반 작업에 필요한 vCenter Server 권한 |
vCenter Server 사용자 검증이란?
디렉토리 서비스를 사용하는 vCenter Server 시스템은 정기적으로 사용자 디렉토리 도메인을 기준으로 사용자 및 그룹을 검증합니다. vCenter Server 설정에 지정된 간격마다 정기적으로 검증이 이루어집니다. 예를 들어 Smith라는 사용자에게 여러 개체에 대한 역할이 할당되어 있는 경우 도메인 관리자가 이름을 Smith2로 바꾼다면 다음번 검증 시 호스트에서 Smith가 더 이상 없다고 결론짓고 이 사용자에 연결된 사용 권한을 vSphere 개체에서 제거합니다.
마찬가지로, 도메인에서 사용자 Smith가 제거되면 다음 유효성 검사가 수행될 때 해당 사용자와 연관된 모든 권한이 제거됩니다. 다음에 검증이 수행되기 전에 새 사용자 Smith가 도메인에 추가되면 새 사용자 Smith가 개체에 대한 사용 권한에 있어 이전 사용자 Smith를 대체합니다.
vSphere에서 사용 권한의 계층적 상속
개체에 사용 권한을 할당할 때 사용 권한을 개체 계층의 하위 개체로 전파할지 여부를 선택할 수 있습니다. 각 사용 권한에 대한 전파를 설정합니다. 전파는 일괄 적용되지 않습니다. 하위 개체에 대해 정의된 사용 권한이 항상 상위 개체에서 전파된 사용 권한을 재정의합니다.
이 그림에 대한 설명:
- VM, 호스트, 네트워크 및 스토리지 폴더에 대한 직접 사용 권한을 설정할 수 없습니다. 즉, 이러한 폴더는 컨테이너로 작동하므로 사용자에게 표시되지 않습니다.
- 표준 스위치에 대한 사용 권한을 설정할 수 없습니다.
대부분의 인벤토리 개체는 계층에 있는 단일 상위 개체로부터 사용 권한을 상속합니다. 예를 들어 데이터스토어는 상위 데이터스토어 폴더 또는 상위 데이터 센터로부터 사용 권한을 상속합니다. 가상 시스템은 상위 가상 시스템 폴더 및 상위 호스트, 클러스터 또는 리소스 풀 모두로부터 동시에 사용 권한을 상속합니다.
예를 들어 폴더나 데이터 센터와 같은 상위 개체에 대한 사용 권한을 설정하여 Distributed Switch 및 그와 연결된 분산 포트 그룹에 대한 사용 권한을 설정할 수 있습니다. 또한 이 사용 권한을 하위 개체로 전파하는 옵션도 선택해야 합니다.
사용 권한은 계층 구조에서 여러 가지 형태를 갖습니다.
관리 엔터티
관리 엔티티는 다음 vSphere 개체를 참조합니다. 관리 엔티티는 엔티티 유형에 따라 다른 특정 작업을 제공합니다. 권한 있는 사용자는 관리 엔티티에 대한 사용 권한을 정의할 수 있습니다. vSphere 개체, 속성 및 메서드에 대한 자세한 내용은 vSphere API 설명서를 참조하십시오.
- 클러스터
- 데이터 센터
- 데이터스토어
- 데이터스토어 클러스터
- 폴더
- 호스트
- 네트워크(vSphere Distributed Switch 제외)
- 분산 포트 그룹
- 리소스 풀
- 템플릿
- 가상 시스템
- vSphere vApp
글로벌 엔티티
루트 vCenter Server 시스템에서 사용 권한이 파생되는 엔티티에 대한 사용 권한을 수정할 수 없습니다.
- 사용자 지정 필드
- 라이센스
- 역할
- 통계 간격
- 세션