若要在 vRealize Automation 中設定和使用雲端帳戶,請確認您具有下列認證。

所需的雲端帳戶認證

若要執行以下作業... 您需要...

註冊並登入 Cloud Assembly

VMware 識別碼。

  • 使用您的企業電子郵件地址設定My VMware 帳戶。

連線到 vRealize Automation Cloud Services

HTTPS 連接埠 443 向傳出流量開啟,可透過防火牆存取:
  • *.vmwareidentity.com
  • gaz.csp-vidm-prod.com
  • *.vmware.com

如需有關連接埠和通訊協定的詳細資訊,請參閱〈VMware 連接埠和通訊協定〉

新增 Amazon Web Services (AWS) 雲端帳戶

提供具有讀取和寫入權限的進階使用者帳戶。使用者帳戶必須是 AWS 身分識別與存取管理 (IAM) 系統中的電源存取原則 (PowerUserAccess) 的成員。
  • 20 位數的存取金鑰識別碼及對應的密碼存取金鑰

如果您使用外部 HTTP 網際網路 Proxy,則必須針對 IPv4 進行設定。

vRealize Automation 以動作為基礎的擴充性 (ABX) 和外部 IPAM 整合可能需要其他權限。

若要允許自動調整功能,建議具備下列 AWS 權限:
  • 自動調整動作:
    • autoscaling:DescribeAutoScalingInstances
    • autoscaling:AttachInstances
    • autoscaling:DeleteLaunchConfiguration
    • autoscaling:DescribeAutoScalingGroups
    • autoscaling:CreateAutoScalingGroup
    • autoscaling:UpdateAutoScalingGroup
    • autoscaling:DeleteAutoScalingGroup
    • autoscaling:DescribeLoadBalancers
  • 自動調整資源:
    • *

      提供所有自動調整資源權限。

若要允許 AWS Security Token Service (AWS STS) 功能支援用於 AWS 身分識別與存取的暫時有限權限認證,需要具備下列權限:
  • AWS STS 資源:
    • *

      提供所有 STS 資源權限。

若要允許 EC2 功能,需要具備下列 AWS 權限:
  • EC2 動作:
    • ec2:AttachVolume
    • ec2:AuthorizeSecurityGroupIngress
    • ec2:DeleteSubnet
    • ec2:DeleteSnapshot
    • ec2:DescribeInstances
    • ec2:DeleteTags
    • ec2:DescribeRegions
    • ec2:DescribeVolumesModifications
    • ec2:CreateVpc
    • ec2:DescribeSnapshots
    • ec2:DescribeInternetGateways
    • ec2:DeleteVolume
    • ec2:DescribeNetworkInterfaces
    • ec2:StartInstances
    • ec2:DescribeAvailabilityZones
    • ec2:CreateInternetGateway
    • ec2:CreateSecurityGroup
    • ec2:DescribeVolumes
    • ec2:CreateSnapshot
    • ec2:ModifyInstanceAttribute
    • ec2:DescribeRouteTables
    • ec2:DescribeInstanceStatus
    • ec2:DetachVolume
    • ec2:RebootInstances
    • ec2:AuthorizeSecurityGroupEgress
    • ec2:ModifyVolume
    • ec2:TerminateInstances
    • ec2:DescribeSpotFleetRequestHistory
    • ec2:DescribeTags
    • ec2:CreateTags
    • ec2:RunInstances
    • ec2:DescribeNatGateways
    • ec2:StopInstances
    • ec2:DescribeSecurityGroups
    • ec2:CreateVolume
    • ec2:DescribeSpotFleetRequests
    • ec2:DescribeImages
    • ec2:DescribeVpcs
    • ec2:DeleteSecurityGroup
    • ec2:DeleteVpc
    • ec2:CreateSubnet
    • ec2:DescribeSubnets
    • ec2:RequestSpotFleet
      備註: vRealize Automation 以動作為基礎的擴充性 (ABX) 或外部 IPAM 整合不需要 SpotFleet 請求權限。
  • EC2 資源:
    • *

      提供所有 EC2 資源權限。

若要允許彈性負載平衡功能,需要具備下列 AWS 權限:
  • 負載平衡器動作:
    • elasticloadbalancing:DeleteLoadBalancer
    • elasticloadbalancing:DescribeLoadBalancers
    • elasticloadbalancing:RemoveTags
    • elasticloadbalancing:CreateLoadBalancer
    • elasticloadbalancing:DescribeTags
    • elasticloadbalancing:ConfigureHealthCheck
    • elasticloadbalancing:AddTags
    • elasticloadbalancing:CreateTargetGroup
    • elasticloadbalancing:DeleteLoadBalancerListeners
    • elasticloadbalancing:DeregisterInstancesFromLoadBalancer
    • elasticloadbalancing:RegisterInstancesWithLoadBalancer
    • elasticloadbalancing:CreateLoadBalancerListeners
  • 負載平衡器資源:
    • *

      提供所有負載平衡器資源權限。

您可以啟用下列 AWS 身分識別與存取管理 (IAM) 權限,但這些權限不是必要權限:

  • iam:SimulateCustomPolicy
  • iam:GetUser
  • iam:ListUserPolicies
  • iam:GetUserPolicy
  • iam:ListAttachedUserPolicies
  • iam:GetPolicyVersion
  • iam:ListGroupsForUser
  • iam:ListGroupPolicies
  • iam:GetGroupPolicy
  • iam:ListAttachedGroupPolicies
  • iam:ListPolicyVersions

新增 Microsoft Azure 雲端帳戶

設定 Microsoft Azure 執行個體,並取得可使用訂閱識別碼的有效 Microsoft Azure 訂閱。

建立 Active Directory 應用程式,如 Microsoft Azure 產品說明文件中的〈操作方法:使用入口網站建立可存取資源的 Azure AD 應用程式和服務主體〉所述。

如果您使用外部 HTTP 網際網路 Proxy,則必須針對 IPv4 進行設定。

請記錄下列資訊:
  • 訂閱識別碼

    可讓您存取 Microsoft Azure 訂閱。

  • 承租人識別碼

    Microsoft Azure 帳戶中建立的 Active Directory 應用程式的授權端點。

  • 用戶端應用程式識別碼

    提供 Microsoft Azure 個別帳戶中 Microsoft Active Directory 的存取權。

  • 用戶端應用程式秘密金鑰

    與您的用戶端應用程式識別碼配對而產生的唯一秘密金鑰。

建立和驗證 Microsoft Azure 雲端帳戶需要下列權限:
  • Microsoft 計算
    • Microsoft.Compute/virtualMachines/extensions/write
    • Microsoft.Compute/virtualMachines/extensions/read
    • Microsoft.Compute/virtualMachines/extensions/delete
    • Microsoft.Compute/virtualMachines/deallocate/action
    • Microsoft.Compute/virtualMachines/delete
    • Microsoft.Compute/virtualMachines/powerOff/action
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachines/restart/action
    • Microsoft.Compute/virtualMachines/start/action
    • Microsoft.Compute/virtualMachines/write
    • Microsoft.Compute/availabilitySets/write
    • Microsoft.Compute/availabilitySets/read
    • Microsoft.Compute/availabilitySets/delete
    • Microsoft.Compute/disks/delete
    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/write
  • Microsoft 網路
    • Microsoft.Network/loadBalancers/backendAddressPools/join/action
    • Microsoft.Network/loadBalancers/delete
    • Microsoft.Network/loadBalancers/read
    • Microsoft.Network/loadBalancers/write
    • Microsoft.Network/networkInterfaces/join/action
    • Microsoft.Network/networkInterfaces/read
    • Microsoft.Network/networkInterfaces/write
    • Microsoft.Network/networkInterfaces/delete
    • Microsoft.Network/networkSecurityGroups/join/action
    • Microsoft.Network/networkSecurityGroups/read
    • Microsoft.Network/networkSecurityGroups/write
    • Microsoft.Network/networkSecurityGroups/delete
    • Microsoft.Network/publicIPAddresses/delete
    • Microsoft.Network/publicIPAddresses/join/action
    • Microsoft.Network/publicIPAddresses/read
    • Microsoft.Network/publicIPAddresses/write
    • Microsoft.Network/virtualNetworks/read
    • Microsoft.Network/virtualNetworks/subnets/delete
    • Microsoft.Network/virtualNetworks/subnets/join/action
    • Microsoft.Network/virtualNetworks/subnets/read
    • Microsoft.Network/virtualNetworks/subnets/write
    • Microsoft.Network/virtualNetworks/write
  • Microsoft 資源
    • Microsoft.Resources/subscriptions/resourcegroups/delete
    • Microsoft.Resources/subscriptions/resourcegroups/read
    • Microsoft.Resources/subscriptions/resourcegroups/write
  • Microsoft 儲存
    • Microsoft.Storage/storageAccounts/delete
    • Microsoft.Storage/storageAccounts/listKeys/action

    • Microsoft.Storage/storageAccounts/read
    • Microsoft.Storage/storageAccounts/write

  • Microsoft Web
    • Microsoft.Web/sites/read
    • Microsoft.Web/sites/write
    • Microsoft.Web/sites/delete
    • Microsoft.Web/sites/config/read
    • Microsoft.Web/sites/config/write
    • Microsoft.Web/sites/config/list/action
    • Microsoft.Web/sites/publishxml/action
    • Microsoft.Web/serverfarms/write
    • Microsoft.Web/serverfarms/delete
    • Microsoft.Web/sites/hostruntime/functions/keys/read
    • Microsoft.Web/sites/hostruntime/host/read
    • Microsoft.web/sites/functions/masterkey/read
如果您要將 Microsoft Azure 與以動作為基礎的擴充性搭配使用,則除了最小權限之外,還需要下列權限:
  • Microsoft.Web/sites/read
  • Microsoft.Web/sites/write
  • Microsoft.Web/sites/delete
  • Microsoft.Web/sites/*/action
  • Microsoft.Web/sites/config/read
  • Microsoft.Web/sites/config/write
  • Microsoft.Web/sites/config/list/action
  • Microsoft.Web/sites/publishxml/action
  • Microsoft.Web/serverfarms/write
  • Microsoft.Web/serverfarms/delete
  • Microsoft.Web/sites/hostruntime/functions/keys/read
  • Microsoft.Web/sites/hostruntime/host/read
  • Microsoft.Web/sites/functions/masterkey/read
  • Microsoft.Web/apimanagementaccounts/apis/read
  • Microsoft.Authorization/roleAssignments/read
  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete
如果您要將 Microsoft Azure 與具有延伸的以動作為基礎的擴充性搭配使用,則還需要下列權限:
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/delete

新增 Google Cloud Platform (GCP) 雲端帳戶

Google Cloud Platform 雲端帳戶與 Google Cloud Platform 計算引擎互動。

建立並驗證 Google Cloud Platform 雲端帳戶時需要專案管理員和擁有者認證。

如果您使用外部 HTTP 網際網路 Proxy,則必須針對 IPv4 進行設定。

必須啟用計算引擎服務。在 vRealize Automation Cloud 中建立雲端帳戶時,請使用在初始化計算引擎時所建立的服務帳戶。

還需要下列計算引擎權限,具體取決於使用者可以採取的動作:

  • roles/compute.admin

    提供所有計算引擎資源的完整控制權。

  • roles/iam.serviceAccountUser
    為管理設定為做為服務帳戶執行的虛擬機器執行個體的使用者提供存取權。授與下列資源和服務的存取權:
    • compute.*
    • resourcemanager.projects.get
    • resourcemanager.projects.list
    • serviceusage.quotas.get
    • serviceusage.services.get
    • serviceusage.services.list
  • roles/compute.imageUser

    提供列出和讀取映像的權限,沒有映像的其他權限。在專案層級授與 compute.imageUser 角色,可讓使用者列出專案中的所有映像。還可以讓使用者根據專案中的映像建立資源,例如執行個體和持續性磁碟。

    • compute.images.get
    • compute.images.getFromFamily
    • compute.images.list
    • compute.images.useReadOnly
    • resourcemanager.projects.get
    • resourcemanager.projects.list
    • serviceusage.quotas.get
    • serviceusage.services.get
    • serviceusage.services.list
  • roles/compute.instanceAdmin

    提供建立、修改和刪除虛擬機器執行個體的權限。這包括建立、修改和刪除磁碟以及設定受防護的 VMBETA 設定的權限。

    對於管理虛擬機器執行個體 (但不是網路或安全性設定,或做為服務帳戶執行的執行個體) 的使用者,將此角色授與包含執行個體的組織、資料夾或專案,或授與個別執行個體。

    管理設定為做為服務帳戶執行的虛擬機器執行個體的使用者還需要 roles/iam.serviceAccountUser 角色。

    • compute.acceleratorTypes
    • compute.addresses.get
    • compute.addresses.list
    • compute.addresses.use
    • compute.autoscalers
    • compute.diskTypes
    • compute.disks.create
    • compute.disks.createSnapshot
    • compute.disks.delete
    • compute.disks.get
    • compute.disks.list
    • compute.disks.resize
    • compute.disks.setLabels
    • compute.disks.update
    • compute.disks.use
    • compute.disks.useReadOnly
    • compute.globalAddresses.get
    • compute.globalAddresses.list
    • compute.globalAddresses.use
    • compute.globalOperations.get
    • compute.globalOperations.list
    • compute.images.get
    • compute.images.getFromFamily
    • compute.images.list
    • compute.images.useReadOnly
    • compute.instanceGroupManagers
    • compute.instanceGroups
    • compute.instanceTemplates
    • compute.instances
    • compute.licenses.get
    • compute.licenses.list
    • compute.machineTypes
    • compute.networkEndpointGroups
    • compute.networks.get
    • compute.networks.list
    • compute.networks.use
    • compute.networks.useExternalIp
    • compute.projects.get
    • compute.regionOperations.get
    • compute.regionOperations.list
    • compute.regions
    • compute.reservations.get
    • compute.reservations.list
    • compute.subnetworks.get
    • compute.subnetworks.list
    • compute.subnetworks.use
    • compute.subnetworks.useExternalIp
    • compute.targetPools.get
    • compute.targetPools.list
    • compute.zoneOperations.get
    • compute.zoneOperations.list
    • compute.zones
    • resourcemanager.projects.get
    • resourcemanager.projects.list
    • serviceusage.quotas.get
    • serviceusage.services.get
    • serviceusage.services.list
  • roles/compute.instanceAdmin.v1
    提供計算引擎執行個體、執行個體群組、磁碟、快照和映像的完整控制權。還提供對所有計算引擎網路資源的讀取權限。
    備註: 如果您在執行個體層級授與使用者此角色,則該使用者無法建立新的執行個體。
    • compute.acceleratorTypes
    • compute.addresses.get
    • compute.addresses.list
    • compute.addresses.use
    • compute.autoscalers
    • compute.backendBuckets.get
    • compute.backendBuckets.list
    • compute.backendServices.get
    • compute.backendServices.list
    • compute.diskTypes
    • compute.disks
    • compute.firewalls.get
    • compute.firewalls.list
    • compute.forwardingRules.get
    • compute.forwardingRules.list
    • compute.globalAddresses.get
    • compute.globalAddresses.list
    • compute.globalAddresses.use
    • compute.globalForwardingRules.get
    • compute.globalForwardingRules.list
    • compute.globalOperations.get
    • compute.globalOperations.list
    • compute.healthChecks.get
    • compute.healthChecks.list
    • compute.httpHealthChecks.get
    • compute.httpHealthChecks.list
    • compute.httpsHealthChecks.get
    • compute.httpsHealthChecks.list
    • compute.images
    • compute.instanceGroupManagers
    • compute.instanceGroups
    • compute.instanceTemplates
    • compute.instances
    • compute.interconnectAttachments.get
    • compute.interconnectAttachments.list
    • compute.interconnectLocations
    • compute.interconnects.get
    • compute.interconnects.list
    • compute.licenseCodes
    • compute.licenses
    • compute.machineTypes
    • compute.networkEndpointGroups
    • compute.networks.get
    • compute.networks.list
    • compute.networks.use
    • compute.networks.useExternalIp
    • compute.projects.get
    • compute.projects.setCommonInstanceMetadata
    • compute.regionBackendServices.get
    • compute.regionBackendServices.list
    • compute.regionOperations.get
    • compute.regionOperations.list
    • compute.regions
    • compute.reservations.get
    • compute.reservations.list
    • compute.resourcePolicies
    • compute.routers.get
    • compute.routers.list
    • compute.routes.get
    • compute.routes.list
    • compute.snapshots
    • compute.sslCertificates.get
    • compute.sslCertificates.list
    • compute.sslPolicies.get
    • compute.sslPolicies.list
    • compute.sslPolicies.listAvailableFeatures
    • compute.subnetworks.get
    • compute.subnetworks.list
    • compute.subnetworks.use
    • compute.subnetworks.useExternalIp
    • compute.targetHttpProxies.get
    • compute.targetHttpProxies.list
    • compute.targetHttpsProxies.get
    • compute.targetHttpsProxies.list
    • compute.targetInstances.get
    • compute.targetInstances.list
    • compute.targetPools.get
    • compute.targetPools.list
    • compute.targetSslProxies.get
    • compute.targetSslProxies.list
    • compute.targetTcpProxies.get
    • compute.targetTcpProxies.list
    • compute.targetVpnGateways.get
    • compute.targetVpnGateways.list
    • compute.urlMaps.get
    • compute.urlMaps.list
    • compute.vpnTunnels.get
    • compute.vpnTunnels.list
    • compute.zoneOperations.get
    • compute.zoneOperations.list
    • compute.zones
    • resourcemanager.projects.get
    • resourcemanager.projects.list
    • serviceusage.quotas.get
    • serviceusage.services.get
    • serviceusage.services.list

新增 NSX-T 雲端帳戶

提供具有下列讀取和寫入權限的帳戶:
  • NSX-T 企業管理員角色和存取認證
  • NSX-T IP 位址或 FQDN
  • 在管理此 NSX-T 執行個體的 vCenter Server 執行個體上安裝雲端 Proxy 所需的權限

管理員需要存取 vCenter Server,如此頁面上以下〈基於 vCenter 的雲端帳戶的 vSphere 代理程式需求〉一節中所述。

新增 NSX-V 雲端帳戶

提供具有下列讀取和寫入權限的帳戶:
  • NSX-V 企業管理員角色和存取認證
  • NSX-V IP 位址或 FQDN
  • 在管理此 NSX-V 執行個體的 vCenter Server 執行個體上安裝雲端 Proxy 所需的權限

管理員需要存取 vCenter Server,如此頁面上以下〈基於 vCenter 的雲端帳戶的 vSphere 代理程式需求〉一節中所述。

新增 vCenter 雲端帳戶

提供具有下列讀取和寫入權限的帳戶:
  • vCenter IP 位址或 FQDN
  • vCenter Server 上安裝雲端 Proxy 所需的權限

管理員需要存取 vCenter Server,如此頁面上以下〈基於 vCenter 的雲端帳戶的 vSphere 代理程式需求〉一節中所述。

新增 VMware Cloud on AWS (VMC) 雲端帳戶

提供具有下列讀取和寫入權限的帳戶:
  • cloudadmin@vmc.local 帳戶或 CloudAdmin 群組中的任何使用者帳戶
  • NSX 企業管理員角色和存取認證
  • 對您組織的 VMware Cloud on AWS SDDC 環境的 NSX Cloud 管理員存取權
  • 對您組織的 VMware Cloud on AWS SDDC 環境的管理員存取權
  • 在您組織的 VMware Cloud on AWS 服務中適用於 VMware Cloud on AWS 環境的 VMware Cloud on AWS API Token
  • vCenter IP 位址或 FQDN
  • vCenter Server 上安裝雲端 Proxy 所需的權限

管理員需要對您的目標 VMware Cloud on AWS SDDC 使用的 vCenter 的存取權,它具有本頁面上以下〈基於 vSphere 的雲端帳戶的 vCenter 代理程式需求〉一節中列出的所有權限。

如需有關建立和使用 VMware Cloud on AWS 雲端帳戶所需權限的詳細資訊,請參閱 VMware Cloud on AWS 產品說明文件中的《管理 VMware Cloud on AWS 資料中心》

基於 vCenter 的雲端帳戶的 vSphere 代理程式需求

下表列出了管理 VMware Cloud on AWSvCenter 雲端帳戶所需的權限。必須針對 vCenter Server 中的所有叢集啟用這些權限,而非僅針對主控端點的叢集啟用。

對於所有以 vCenter Server 為基礎的雲端帳戶 (包括 NSX-VNSX-TvCenterVMware Cloud on AWS),管理員必須具有 vSphere 端點認證或用以在 vCenter 中執行代理程式服務的認證,以提供對主機 vCenter Server 的管理存取權。

如需有關 vSphere 代理程式需求的詳細資訊,請參閱 VMware vSphere 產品說明文件

表 1. vSphere 代理程式管理 vCenter Server 執行個體所需的權限
屬性值 權限
資料存放區
  • 配置空間
  • 瀏覽資料存放區
  • 低層級檔案作業
資料存放區叢集 設定資料存放區叢集
資料夾
  • 建立資料夾
  • 刪除資料夾
全域
  • 管理自訂屬性
  • 設定自訂屬性
網路 指派網路
權限 修改權限
資源
  • 將虛擬機器指派給資源集區
  • 移轉已關閉電源的虛擬機器
  • 移轉已開啟電源的虛擬機器
內容程式庫

若要指派內容程式庫的權限,管理員必須將該權限做為全域權限授與使用者。如需相關資訊,請參閱 VMware vSphere 說明文件《vSphere 虛擬機器管理》中的〈內容程式庫權限的階層式繼承〉

  • 新增程式庫項目
  • 建立本機程式庫
  • 建立已訂閱程式庫
  • 刪除程式庫項目
  • 刪除本機程式庫
  • 刪除已訂閱程式庫
  • 下載檔案
  • 收回程式庫項目
  • 收回已訂閱程式庫
  • 探查訂閱資訊
  • 讀取儲存區
  • 同步程式庫項目
  • 同步已訂閱程式庫
  • 類型自我檢查
  • 更新組態設定
  • 更新檔案
  • 更新程式庫
  • 更新程式庫項目
  • 更新本機程式庫
  • 更新已訂閱程式庫
  • 檢視組態設定
標籤
  • 指派或取消指派 vSphere 標籤
  • 建立 vSphere 標籤
  • 建立 vSphere 標籤類別
  • 刪除 vSphere 標籤
  • 刪除 vSphere 標籤類別
  • 編輯 vSphere 標籤
  • 編輯 vSphere 標籤類別
  • 修改類別的 [UsedBy] 欄位
  • 修改標籤的 [UsedBy] 欄位
vApp
  • 匯入
  • vApp 應用程式組態

對於 OVF 範本以及從內容程式庫佈建虛擬機器時,需要 vApp.Import 應用程式組態。

針對雲端組態指令碼使用 cloud-init 時,需要 vApp.vApp 應用程式組態。此設定允許修改 vApp 的內部結構,如產品資訊和內容。

虛擬機器 - 詳細目錄
  • 從現有項目建立
  • 建立新項目
  • 移動
  • 移除
虛擬機器 - 互動
  • 設定 CD 媒體
  • 主控台互動
  • 裝置連線
  • 關閉電源
  • 開啟電源
  • 重設
  • 暫停
  • 工具安裝
虛擬機器 - 組態
  • 新增現有磁碟
  • 新增磁碟
  • 移除磁碟
  • 進階
  • 變更 CPU 計數
  • 變更資源
  • 延伸虛擬磁碟
  • 磁碟變更追蹤
  • 記憶體
  • 修改裝置設定
  • 重新命名
  • 設定註解
  • 設定
  • 分頁檔放置
虛擬機器 - 佈建
  • 自訂
  • 複製範本
  • 複製虛擬機器
  • 部署範本
  • 讀取自訂規格
虛擬機器 - 狀態
  • 建立快照
  • 移除快照
  • 還原為快照