在 vCenter Server 物件階層中,標籤物件不是 vCenter Server 的子系,但卻在 vCenter Server 頂層中建立。在包含多個 vCenter Server 執行個體的環境中,標籤物件在 vCenter Server 執行個體之間共用。標籤物件的權限與 vCenter Server 物件階層中其他物件的權限的運作方式有所不同。
僅全域權限或指派至標籤物件的權限適用
如果您授與 vCenter Server 詳細目錄物件 (例如虛擬機器) 的權限給使用者,該使用者可以執行與權限相關聯的工作。但是,使用者無法對物件執行標籤作業。
例如,如果您將
指派 vSphere 標籤權限授與主機 TPA 上的使用者 Dana,該權限不會影響 Dana 是否可在主機 TPA 上指派標籤。Dana 必須擁有頂層的
指派 vSphere 標籤權限,即全域權限;或必須擁有標籤物件的權限。
全域權限 | 標籤層級權限 | vCenter Server 物件層級權限 | 有效權限 |
---|---|---|---|
未指派標記權限。 | Dana 擁有標籤的指派或取消指派 vSphere 標籤權限。 | Dana 擁有 ESXi 主機 TPA 上的刪除 vSphere 標籤權限。 | Dana 擁有標籤的指派或取消指派 vSphere 標籤權限。 |
Dana 擁有指派或取消指派 vSphere 標籤權限。 | 未針對標籤指派權限。 | Dana 擁有 ESXi 主機 TPA 上的刪除 vSphere 標籤權限。 | Dana 擁有指派或取消指派 vSphere 標籤全域權限。其包括標籤層級的權限。 |
未指派標記權限。 | 未針對標籤指派權限。 | Dana 擁有 ESXi 主機 TPA 上的指派或取消指派 vSphere 標籤權限。 | Dana 沒有任何物件 (包括主機 TPA) 的標記權限。 |
全域權限補充標籤物件權限
全域權限,即頂層物件上指派的權限,會在標籤物件上的權限限制較嚴格時補充標籤物件上的權限。vCenter Server 權限不會影響標籤物件。
例如,假定您透過使用全域權限將刪除 vSphere 標籤權限指派給位於頂層的使用者 Robin。對於標籤 [生產],您沒有將刪除 vSphere 標籤權限指派給 Robin。在這種情況下,Robin 擁有標籤 [生產] 的權限,因為他擁有從頂層散佈的全域權限。除非您修改全域權限,否則您無法限制權限。
全域權限 | 標籤層級權限 | 有效權限 |
---|---|---|
Robin 擁有刪除 Robin vSphere 標籤權限 | Robin 沒有標籤的刪除 vSphere 標籤權限。 | Robin 擁有刪除 Robin vSphere 標籤權限。 |
未指派標記權限 | Robin 沒有針對標籤指派的刪除 vSphere 標籤權限。 | Robin 沒有刪除 vSphere 標籤權限 |
標籤層級權限可延伸全域權限
您可以使用標籤層級權限來延伸全域權限。這表示使用者可同時擁有標籤的全域權限和標籤層級權限。
備註: 此行為不同於繼承
vCenter Server 權限的方式。在
vCenter Server 中,為子物件定義的權限一律覆寫從父系物件散佈的權限。
全域權限 | 標籤層級權限 | 有效權限 |
---|---|---|
Lee 擁有指派或取消指派 vSphere 標籤權限。 | Lee 擁有刪除 vSphere 標籤權限。 | Lee 擁有標籤的指派 vSphere 標籤權限以及刪除 vSphere 標籤權限。 |
未指派標記權限。 | Lee 擁有針對標籤指派的刪除 vSphere 標籤權限。 | Lee 擁有標籤的刪除 vSphere 標籤權限。 |