依預設,具有 vCenter Server 管理員角色的使用者可與虛擬機器客體作業系統內的檔案和程式進行互動。若要降低破壞客體機密性、可用性或完整性的風險,請建立沒有客體作業權限的非客體存取角色。

開始之前

確認您在將建立角色的 vCenter Server 系統擁有管理員權限。

執行這項作業的原因和時機

出於安全性考慮,請嚴格限制對虛擬資料中心的存取,嚴格程度與限制對實體資料中心的存取相同。若要避免授與使用者完整管理員存取權限,請建立可停用客體存取的自訂角色,並將該角色套用於需要管理員權限,但是無權與客體作業系統內的檔案和程式進行互動的使用者。

例如,某個組態可能在基礎結構中包括虛擬機器,該基礎結構帶有敏感資訊。使用 vMotion 和 Storage vMotion 進行移轉等工作會要求 IT 角色有權存取該虛擬機器。在此案例中,停用客體作業系統內的部分遠端作業,以確保該 IT 角色無法存取敏感資訊。

程序

  1. 以使用者身分登入 vSphere Web Client,該使用者在將建立角色的 vCenter Server 系統擁有管理員權限。
  2. 按一下管理,然後選取角色
  3. 按一下建立角色動作圖示,然後輸入角色的名稱。

    例如,輸入無客體存取權限的管理員

  4. 選取所有權限
  5. 取消選取所有權限 > 虛擬機器 > 客體作業,從而移除一組客體作業權限。
  6. 按一下確定

下一步

選取 vCenter Server 系統或主機,並指派可將應具有新權限的使用者或群組與新建立的角色進行配對的權限。從預設管理員角色中移除這些使用者。