權限是 VMware Cloud Director 中的基本存取控制單位。角色會將角色名稱與一組權限相關聯。每個組織可以有不同的權限和角色。
VMware Cloud Director 使用角色及其相關聯的權限來判定使用者或群組是否獲得執行作業的授權。VMware Cloud Director 指南中記錄的許多程序包含先決條件角色。這些先決條件假設已命名角色是未修改的預先定義角色,或包含一組同等權限的角色。
系統管理員和子提供者管理員可以使用權限服務包和全域承租人角色來管理可供每個組織使用的權限和角色。
安裝 VMware Cloud Director 後,系統將僅包含 System Rights Bundle
,其中包含系統中的所有可用權限。System Rights Bundle
不會發佈到任何組織。系統還包含內建的全域承租人角色,這些角色會發佈到由 system
組織管理的所有組織,但子提供者管理員角色除外 (依預設不會發佈)。如需預先定義的角色的相關資訊,請參閱預先定義的 VMware Cloud Director 角色及其權限。
除了 System Rights Bundle
之外,系統可能還包含用於每個現有組織的 Legacy Rights Bundle
。每個 Legacy Rights Bundle
都包含升級時可供相關聯的組織使用的權限,且權限服務包僅會發佈到此組織。
Legacy Rights Bundle
。
VMware Cloud Director 提供用於管理權限和角色的 OpenAPI。如需 VMware Cloud Director OpenAPI 的相關資訊,請參閱 https://developer.broadcom.com/ 中的《VMware Cloud Director OpenAPI 入門》。
權限術語
- 權限
-
每個權限會提供對
VMware Cloud Director 中特定物件類型的檢視或管理存取權。根據與其相關的物件,權限可屬於多種類別,例如
vApp
、Catalog
、Organization
等。提供者組織包含系統中的所有可用權限。 系統管理員會定義可供每個組織使用的權限。子提供者可以定義可供其管理的組織使用的權限。您無法建立或修改 VMware Cloud Director 中包含的權限。 - 權限服務包
- 系統管理員可使用權限服務包管理可供每個組織使用的權限。權限服務包是 系統管理員可發佈到一或多個組織的權限集。 系統管理員或 子提供者管理員可以建立和發佈與服務階層對應的權限服務包、可單獨銷售的功能或任何其他隨機權限群組。 系統管理員和 子提供者管理員只能將權限服務包發佈到他們直接管理的組織,例如,提供者無法將權限服務包發佈到子提供者管理的承租人組織。只有 系統管理員和 子提供者管理員可以檢視和管理權限服務包。管理員可以將多個服務包發佈到相同的組織。
- 權限分類
-
從版本 10.6 開始,
VMware Cloud Director 將權限分為三組:
Provider
、Sub-provider
和Tenant
權限。provider
權限僅適用於提供者,不能指派給任何其他人,也不能向任何其他人顯示。提供者可以將sub-provider
權限發佈到其直接承租人,從而為其提供子提供者功能,而 子提供者管理員無法將sub-provider
權限發佈到其管理的承租人組織。tenant
權限是可以指派給任何人的一般權限。如果要查看所有 VMware Cloud Director 權限以及 API 權限名稱、使用者介面權限名稱、權限分類和使用者介面權限類別等的清單,請參閱 CSV 格式的 VMware Cloud Director 10.6 權限檔案。
或者,您也可以在使用 VMware Cloud Director API 時確定權限分類,VMware Cloud Director 將傳回每個權限及
isPublishable
欄位。該欄位為true
或false
,具體取決於分類以及您發出呼叫的內容。例如,對於sub-provider
分類權限,該欄位在提供者內容中為true
,而在子提供者內容中為false
。
角色術語
- 角色
- 角色是可指派給一或多個使用者和群組的權限集。建立或匯入使用者或群組時,您必須為其指派一個角色。
- 提供者角色
- 提供者角色是僅可用於提供者組織的角色集。 系統管理員只能將提供者角色指派給提供者使用者。 系統管理員可建立自訂提供者角色。
- 子提供者角色
-
從
VMware Cloud Director 10.6 開始,
系統管理員可以將必要的權限發佈到組織,以使該組織成為子提供者組織。具有預先定義的
子提供者管理員角色的使用者可以建立和管理組織和組織 VDC,還可以管理子提供者組織中的使用者和群組以及為其指派角色 (包括預先定義
子提供者管理員角色)。
子提供者管理員在子提供者組織中進行操作。
子提供者管理員角色可以建立和發佈全域角色和權限服務包。
如需有關子提供者角色的詳細資訊,請參閱VMware Cloud Director 管理的概觀。如需子提供者權限的完整清單,請參閱預先定義之全域承租人角色中的 VMware Cloud Director 權限。
- 承租人角色
-
承租人角色是可供組織使用的角色集。
系統管理員和子提供者管理員可以建立和編輯全域承租人角色,並將其發佈到一或多個組織。系統管理員和子提供者管理員只能將全域承租人角色發佈到他們直接管理的組織,例如,提供者無法將全域承租人角色發佈到子提供者管理的承租人組織。管理員可以將全域承租人角色指派給所發佈到的組織中的承租人使用者。組織管理員無法編輯全域承租人角色。
備註: 承租人使用者只能使用已發佈到其組織的角色中的權限。 - 承租人專屬角色
-
組織管理員可以建立和編輯其組織的本機承租人專屬角色。承租人專屬角色僅可指派給其所屬組織中的承租人使用者。承租人專屬角色只能包含一部分組織權限。
如需管理承租人專屬角色的相關資訊,請參閱 VMware Cloud Director 子提供者和承租人指南。