vCenter Server 中,角色是一組預先定義的權限,用於定義執行動作和讀取內容的權限。透過將角色指派給物件的使用者或群組來建立權限。vCenter Server 預設會提供系統角色和範例角色。也可建立自訂角色。

vCenter Server 中指派權限

vCenter Server 中指派權限時,將使用者或群組與角色配對,然後將該配對與詳細目錄物件相關聯。例如,可以使用虛擬機器使用者範例角色允許使用者讀取和變更虛擬機器屬性。

單一使用者或群組針對詳細目錄中的不同物件可能有不同角色。例如,假設您的詳細目錄中有兩個資源集區 (集區 A 和集區 B)。您可以為群組 Sales 在集區 A 上指派虛擬機器使用者範例角色,而在集區 B 上指派唯讀角色。執行上述指派後,群組 Sales 中的使用者可以開啟集區 A 中的虛擬機器,但只能檢視集區 B 中的虛擬機器。

如果使用者擁有的角色包含在建立工作時執行該工作的權限,則只能對工作進行排程。

什麼是預先定義的 vCenter Server 角色

如下表所示,vCenter Server 提供預先定義的角色。

表 1. 預先定義的 vCenter Server 角色
角色類型 角色名稱 說明
系統 管理員、唯讀和無存取權。 系統角色是永久的。您無法刪除系統角色,也無法編輯與這些角色關聯的權限。系統角色按階層進行組織。每個角色都繼承前一個角色的權限。例如,管理員角色會繼承唯讀角色的權限。如需有關系統角色的更多詳細資料,請參閱以下一節。
範例 vSphere 提供了許多範例角色,例如 AutoUpdateUser、資源集區管理員和虛擬機器使用者。 vSphere 為某個頻繁執行的工作組合提供範例角色。您可複製、修改或移除這些角色。
備註: 若要避免遺失範例角色中預先定義的設定,請先複製該角色,然後對複製品進行修改。無法將範例重設為預設設定。

若要檢視與某個角色相關聯的權限,請在 vSphere Client 中導覽到該角色 (功能表 > 系統管理 > 角色),然後按一下權限索引標籤。

若要檢視所有 vSphere 權限和說明,請參閱定義的權限

備註: 即使所涉及到的使用者已登入,對角色和權限的變更也會即時生效。但搜尋除外,在搜尋中,這些變更會在使用者登出再重新登入之後才生效。

vCenter Server 系統角色

無法更改或刪除系統角色。

管理員角色
具有某物件之管理員角色的使用者,能夠檢視該物件並對其執行所有動作。此角色還包括唯讀角色的所有權限。如果您具有某物件上的管理員角色,則可以將權限指派給個別使用者和群組。
如果您充當的是 vCenter Server 中的管理員角色,則可以將權限指派給預設 vCenter Single Sign-On 身分識別來源中的使用者和群組。如需支援的身分識別服務,請參閱 vSphere 驗證說明文件。
依預設,安裝完成後,[email protected] 使用者會同時在 vCenter Single Sign-OnvCenter Server 上獲得管理員角色。此時,該使用者即可將其他使用者與 vCenter Server 上的管理員角色進行關聯。
提示: 最佳做法是在根層級建立使用者,並將管理員角色指派給該使用者。建立具有管理員權限的具名使用者後,您可從任何權限移除根使用者,或將其角色變更為無存取權。
唯讀角色
具有某物件之唯讀角色的使用者能夠檢視該物件的狀態和有關該物件的詳細資料。例如,具有此角色的使用者可檢視虛擬機器、主機以及資源集區屬性,但無法檢視主機的遠端主控台。透過功能表和工具列執行的所有動作均會遭到禁止。
無存取權角色
具有某物件之無存取權角色的使用者無法以任何方式檢視或變更該物件。依預設,新的使用者和群組會指派此角色。您可以逐物件地變更角色。
vCenter Single Sign-On 網域的管理員 (依預設為 [email protected])、根使用者以及 vpxuser 將依預設獲指派管理員角色。依預設,其他使用者將獲指派無存取權角色。

vCenter ServerESXi 中的自訂角色

可以為 vCenter Server 及其管理的所有物件,或為個別主機建立自訂角色。
vCenter Server 自訂角色 (建議)
可以使用 vSphere Client 中的角色編輯功能建立自訂角色,以建立符合您需求的權限集。
ESXi 自訂角色
可以透過使用 CLI 或 VMware Host Client 為個別主機建立自訂角色。請參閱 vSphere 單一主機管理 - VMware Host Client說明文件。無法從 vCenter Server 存取自訂主機角色。
如果您透過 vCenter Server 管理 ESXi 主機,請勿同時在主機和 vCenter Server 中保留自訂角色。在 vCenter Server 層級定義角色。
使用 vCenter Server 管理主機時,與該主機相關聯的權限會透過 vCenter Server 建立並儲存在 vCenter Server 上。如果直接連線至主機,則只能使用直接在主機上建立的角色。
備註: 新增自訂角色但不為其指派任何權限時,系統會將角色建立為擁有三個系統定義之權限的唯讀角色: 系統.匿名系統.檢視以及 系統.讀取。這些權限不會顯示在資料 vSphere Client 中,但將用來讀取某些受管理物件的特定內容。 vCenter Server 中所有預先定義的角色都包含這三個系統定義的權限。如需詳細資訊,請參閱 vSphere Web Services API 說明文件。

建立 vCenter Server 自訂角色

為了滿足環境的存取控制需求,可以建立 vCenter Server 自訂角色。您可以建立角色,或複製現有角色。

您可以在是與其他 vCenter Server系統相同的 vCenter Single Sign-On 網域一部分的vCenter Server 系統上建立或編輯角色。VMware Directory Service (vmdir) 會將您進行的角色變更傳播到群組中的所有其他vCenter Server系統。對特定使用者和物件的角色指派不會在 vCenter Server系統上共用。

必要條件

確認您在將建立角色的 vCenter Server 系統擁有管理員權限。

程序

  1. 使用 vSphere Client 登入 vCenter Server
  2. 選取管理,然後按一下存取控制區域中的角色
  3. 建立角色。
    選項 說明
    建立角色
    1. 按一下新增
    2. 輸入新角色的名稱。
    3. 選取和取消選取該角色的權限。

      捲動權限類別,然後為該類別選取所有權限或一部分權限。可以顯示所有、已選取或未選取的類別。還可以顯示所有、已選取或未選取的權限。如需詳細資訊,請參閱定義的權限

    4. 按一下建立
    透過複製建立角色
    1. 選取角色,然後按一下複製
    2. 輸入角色的名稱。
    3. 按一下確定
    備註: 在建立複製角色時,您無法變更權限。若要變更權限,請選取複製的角色,然後按一下 編輯

下一步

您現在可以透過選取某個物件,並將角色指派給該物件的使用者或群組來建立權限。