使用角色和權限的最佳做法,盡可能地提高 vCenter Server 環境的安全性和管理性。

vCenter Server 環境中設定角色和權限時,VMware 建議採用下列最佳做法:

  • 如果可能,請將角色指派給群組,而不是個別使用者。

  • 僅在有需要的物件上授與權限,並且僅將權限指派給必須具有這些權限的使用者或群組。使用最少權限數可以更輕鬆地瞭解和管理權限結構。

  • 如果要為群組指派限制性角色,請確定該群組不包含管理員使用者或其他具有管理權限的使用者。否則,您可能無意中限制了詳細目錄階層組成部分 (已從中向該群組指派了限制性角色) 中管理員的權限。

  • 使用資料夾將物件分組。例如,若要在一組主機上授與修改權限,而在另一組主機上授與檢視權限,請將每組主機置於一個資料夾中。

  • 將權限新增到根 vCenter Server 物件時,請務必謹慎。具有根層級權限的使用者有權存取 vCenter Server 上的全域資料,如角色、自訂屬性、vCenter Server 設定。

  • 當您將權限指派給物件時,請考慮啟用傳播。傳播確保在物件階層中的新物件繼承權限並且可供使用者存取。

  • 使用無存取權角色來遮罩階層的特定區域。無存取權角色會限制具有該角色的使用者或群組的存取權。

  • 對授權的變更會按如下所示散佈:

    • 散佈到連結到相同 Platform Services Controller 的所有 vCenter Server 系統。

    • 散佈到相同 vCenter Single Sign-On 網域中的 Platform Services Controller 執行個體。

  • 即使使用者沒有所有 vCenter Server 系統的權限,授權傳播仍會進行。