역할 및 사용 권한에 대한 모범 사례를 적용하여 vCenter Server 환경의 보안 및 관리 용이성을 극대화할 수 있습니다.
vCenter Server 환경에서 역할 및 사용 권한을 구성할 때 다음의 모범 사례를 따르십시오.
- 가능하면 개별 사용자보다는 그룹에 역할을 할당합니다.
- 사용 권한이 필요한 개체에만 사용 권한을 부여하고, 권한이 반드시 있어야 하는 사용자 또는 그룹에만 해당 권한을 할당합니다. 사용 권한 수를 최소화하면 사용 권한 구조를 보다 쉽게 이해하고 관리할 수 있습니다.
- 그룹에 제한적인 역할을 할당할 경우에는 관리자 사용자나 관리 권한을 가진 사용자가 그룹에 포함되어 있지 않은지 확인합니다. 이러한 사용자가 만약 있으면 그룹에 제한적인 역할을 할당한 인벤토리 계층의 일부에서 관리자의 권한이 의도하지 않게 제한될 수 있습니다.
- 권한을 더 쉽게 할당할 수 있도록 개체를 폴더로 그룹화합니다. 예를 들어 한 호스트 집합에는 수정 권한을 부여하고 다른 호스트 집합에는 보기 권한을 부여하려는 경우 각 호스트 집합을 하나의 폴더에 배치합니다.
- 사용 권한을 루트 vCenter Server 개체에 추가할 때에는 주의합니다. 루트 수준의 권한을 가진 사용자는 vCenter Server 설정, 역할, 사용자 지정 특성과 같은 vCenter Server의 글로벌 데이터에 액세스할 수 있습니다.
- 개체에 사용 권한을 할당할 때에는 전파 기능을 사용하는 것이 좋습니다. 전파 기능을 사용하면 개체 계층의 새 개체에 사용 권한을 상속할 수 있습니다. 예를 들어 가상 시스템 폴더에 사용 권한을 할당한 후 전파 기능을 사용하도록 설정하여 해당 폴더 내의 모든 가상 시스템에 이 사용 권한을 적용할 수 있습니다.
- 계층의 특정 영역을 마스킹하려면 권한 없음 역할을 사용합니다. 권한 없음 역할은 해당 역할이 있는 사용자 또는 그룹에 대한 액세스를 제한합니다. 그러나 VM과 vAPP의 경우 두 가지 권한 전파 체인이 있습니다. 체인 중 하나에 대해 [권한 없음] 역할이 있는 전파 권한을 할당해도 해당 vApp 또는 VM에 전파된 권한이 없다는 의미는 아닙니다.
- 라이센스 변경 사항은 같은 vCenter Single Sign-On 도메인 내의 연결된 모든 vCenter Server 시스템에 전파됩니다.
- 라이센스 전파는 사용자에게 모든 vCenter Server 시스템에 대한 권한이 없는 경우에도 이루어집니다.