vSphere 支援使用數種模型來確定是否允許使用者執行某項工作。vCenter Single Sign-On 群組中的群組成員資格決定了允許您執行的操作。您對物件的角色或全域權限將決定是否允許您執行其他工作。
權限在 vSphere 中如何運作
vSphere 允許有權限的使用者授與其他使用者執行工作的權限。您可以使用全域權限,或者您可以針對個別 vCenter Server 執行個體,使用本機 vCenter Server 權限授權其他使用者。
下圖說明了全域權限和本機權限的運作方式。
在此圖中:
- 在根物件層級上指派全域權限並選取「散佈到子系」。
- vCenter Server 將權限散佈到環境中的 vCenter Server 1 和 vCenter Server 2 物件階層。
- vCenter Server 2 上的根資料夾的本機權限會取代全域權限。
- vCenter Server 權限
-
vCenter Server 系統的權限模型依賴於將權限指派到物件階層中的物件。使用者會按下列方式取得權限。
- 來自使用者的特定權限或來自使用者所屬的群組
- 來自物件的權限或透過父系物件的權限繼承
每個權限會授予某個使用者或群組一組權限,即所選物件的角色。您可以使用 vSphere Client 新增權限。例如,可以在虛擬機器上按一下滑鼠右鍵,選取新增權限,然後完成向一組使用者指派角色的對話方塊。該角色可授與這些使用者在虛擬機器上的對應權限。
- 全域權限
- 全域權限會賦予使用者或群組檢視或管理部署中解決方案的每個詳細目錄階層中所有物件的權限。也就是說,全域權限會應用至跨解決方案詳細目錄階層的全域根物件。(解決方案包括 vCenter Server、 VMware Aria Automation Orchestrator 等。)全域權限也適用於標籤和內容程式庫等全域物件。例如,假設一個部署包含兩個解決方案,即 vCenter Server 和 VMware Aria Automation Orchestrator。您可以使用全域權限向一組使用者指派角色,這些使用者對 vCenter Server 和 VMware Aria Automation Orchestrator 物件階層中的所有物件具有唯讀權限。
- vCenter Single Sign-On 群組中的群組成員資格
- vCenter Single Sign-On 網域群組的成員可以執行特定工作。例如,如果您是 LicenseService.Administrators 群組的成員,則可以執行授權管理。請參閱 vSphere 驗證說明文件。
瞭解物件層級權限模型
您可以透過使用物件上的權限來授權使用者或群組在 vCenter Server 物件上執行工作。就程式設計而言,當使用者嘗試執行作業時,即會執行 API 方法。vCenter Server 會檢查該方法的權限,以確認使用者是否有權執行作業。例如,當使用者嘗試新增主機時,會叫用 AddStandaloneHost_Task 方法。此方法要求使用者的角色具有 Host.Inventory.AddStandaloneHost 權限。如果該檢查找不到此權限,則使用者新增主機的權限會遭到拒絕。
下列概念很重要。
- 權限
- vCenter Server 物件階層中的每個物件都擁有相關聯的權限。每個權限指定一個群組或使用者對物件擁有哪些權限。權限可以散佈到子系物件。
- 使用者和群組
- 在 vCenter Server 系統中,您只能將權限指派給已驗證使用者或已驗證使用者的群組。使用者將透過 vCenter Single Sign-On 進行驗證。必須在 vCenter Single Sign-On 用於驗證的身分識別來源中定義使用者和群組。使用身分識別來源中的工具 (例如 Active Directory) 定義使用者和群組。
- 權限
- 權限為細密的存取控制。您可以將這些權限分組到角色,然後將角色對應到使用者或群組。
- 角色
- 角色為權限集。角色讓您能夠根據使用者一般會執行的一組工作來指派物件的權限。 vCenter Server 中已預先定義系統角色 (例如管理員) 且無法變更。 vCenter Server 還提供了一些可修改的預設範例角色,例如資源集區管理員。您可以從頭開始建立自訂角色,也可以透過複製和修改範例角色來建立自訂角色。 請參閱建立 vCenter Server 自訂角色。
下圖說明了如何透過特殊權限和角色建構權限,以及如何將權限指派給 vSphere 物件的使用者或群組。
- 選取要將 vCenter Server 物件階層中的權限套用到的物件。
- 選取應擁有該物件權限的群組或使用者。
- 選取個別權限或角色,即群組或使用者應擁有的一組物件權限。
依預設,不會選取 [散佈到子系]。必須選取該核取方塊,使用者或群組才能對所選物件及其子物件擁有所選角色。
vCenter Server 提供了範例角色,這些角色將合併常用的權限集。您也可以透過合併一組角色來建立自訂角色。
通常必須在來源物件和目的地物件上同時定義權限。例如,如果您移動虛擬機器,則不僅需要該虛擬機器的權限,還需要目的地資料中心的權限。
若要瞭解... | 請參閱... |
---|---|
建立自訂角色。 | 建立 vCenter Server 自訂角色 |
所有權限和可套用權限的物件 | 定義的權限 |
不同工作的不同物件上所需的權限集。 | 一般工作所需的 vCenter Server 權限 |
什麼是 vCenter Server 使用者驗證
使用目錄服務的 vCenter Server 系統將根據使用者目錄網域定期驗證使用者和群組。系統將根據 vCenter Server 設定中指定的固定間隔執行驗證。例如,假設在數個物件上為使用者 Smith 指派了某個角色。網域管理員將名稱變更為 Smith2。下次進行驗證時,主機會認為 Smith 已不存在,並從 vSphere 物件中移除與該使用者相關聯的權限。
同樣地,如果將使用者 Smith 從網域中移除,則下次進行驗證時與該使用者關聯的所有權限都會遭到移除。如果在下次進行驗證之前將新使用者 Smith 新增至網域,則新使用者 Smith 會取代舊使用者 Smith 對任何物件具有的權限。
vSphere 中的權限階層式繼承
將權限指派給物件時,您可以選擇權限是否沿物件階層向下傳播。針對每個權限設定傳播方式。傳播並非普遍適用。為子系物件定義的權限永遠覆寫從父系物件傳播的權限。
關於此圖:
- 您無法在虛擬機器、主機、網路和儲存區資料夾上設定直接權限。也就是說,這些資料夾將充當容器,因此對使用者不可見。
- 您無法設定標準交換器的權限。
大多數詳細目錄物件會在階層中從單一父系物件繼承權限。例如,資料存放區會從其父系資料存放區資料夾或父系資料中心繼承權限。虛擬機器會同時從父系虛擬機器資料夾和父系主機、叢集或資源集區繼承權限。
例如,您可以為分散式交換器及其相關聯的分散式連接埠群組設定權限,方法是設定父系物件 (如資料夾或資料中心) 的權限。此外,您還必須選取用於將這些權限傳播到子系物件的選項。
權限在階層中採用數種形式。
受管理的實體
受管理實體指的是下列 vSphere 物件。受管理實體可提供視實體類型而異的特定作業。特權使用者可以定義受管理的實體的權限。如需有關 vSphere 物件、內容和方法的詳細資訊,請參閱 vSphere API 說明文件。
- 叢集
- 資料中心
- 資料存放區
- 資料存放區叢集
- 資料夾
- 主機
- 網路 (vSphere Distributed Switch 除外)
- 分散式連接埠群組
- 資源集區
- 範本
- 虛擬機器
- vSphere vApp
全域實體
您無法修改從根 vCenter Server 系統衍生權限的實體的權限。
- 自訂欄位
- 授權
- 角色
- 統計間隔
- 工作階段