vSphere에서 권한은 역할로 그룹화하여 사용자 또는 그룹에 매핑할 수 있는 세분화된 액세스 제어입니다. 권한 레코더는 vCenter Server 워크플로를 실행하는 데 필요한 최소 권한 집합을 식별하는 데 도움이 됩니다.
특정 작업 집합을 실행하려면 사용자에게 필요한 최소 권한 집합을 확인하기가 매우 어렵습니다. 권한은 일반적으로 각 개체에서 작동하는 다양한 API에 대한 여러 호출로 구성되는 특정 워크플로와 일대일 매핑되지 않습니다. 따라서 사용자는 환경에 대해 더 많은 액세스 권한을 갖거나 너무 적은 액세스 권한을 갖게 됩니다. 환경의 보안을 유지하기 위해 권한 레코더 기능을 사용하면 vCenter Server 워크플로를 실행하는 데 필요한 최소 권한 집합을 식별할 수 있습니다. 이를 통해 작업을 수행하는 동안 검사된 권한을 모니터링하고 쿼리할 수 있습니다. 권한 레코더는 REST API 사용하여 구현됩니다.
참고: 이 기능은 API로 제공되며 스크립트로 실행되는 워크플로만 지원합니다. 권한 레코더에 대한 UI 지원은 없습니다.
ListAPI를 쿼리하면 권한 검사 목록을 해당 세션, 사용자, 관리 개체 및 작업 ID(opID)와 함께 검색할 수 있습니다. 적절한 필터를 사용하여 특정 워크플로에 대한 권한을 가져올 수 있습니다.
예를 들어 사용자 A가 VM을 생성해야 한다고 가정합니다. VM을 생성하려면 특정 권한 집합이 필요합니다. 사용자 A는 시스템 관리자에게 권한을 요청해야 합니다. 시스템 관리자는 권한 레코더를 사용하도록 설정하고 VM 생성 작업을 실행할 수 있습니다. 권한 확인이 수행되는 동안 VM 생성 작업 중에 검사된 권한에 대한 데이터가 저장됩니다. 데이터에는 PrivilegeID, sessionID, OpID 등이 포함됩니다. 이 예에서 이 시스템 관리자는 필터를 사용하여 VM 생성 워크플로에 대한 권한을 가져옵니다. 이제 시스템 관리자가 필요한 최소 권한을 가진 역할을 생성하고 사용자에게 할당할 수 있습니다.