在 vSphere 中,權限是精細的存取控制,可以分成不同的角色群組並將角色對應至使用者或群組。權限記錄器可協助您確定執行 vCenter Server 工作流程所需的最低權限集。
若要執行一組特定的作業,很難確定使用者所需的最小權限集。權限與特定工作流程沒有一對一對應,該工作流程通常由對相應物件上運作的不同 API 的多次呼叫組成。因此,使用者對環境的存取權要麼過多,要麼太少。為了保證環境的安全,權限記錄器功能可協助您確定執行 vCenter Server 工作流程所需的最低權限集。它使您能夠監控和查詢在執行作業時檢查的權限。權限記錄器是使用 REST API 實作的。
備註: 此功能作為 API 提供,它僅支援指令碼執行的工作流程。不支援對權限記錄器使用 UI。
透過查詢 ListAPI,可以擷取權限檢查清單以及相應的工作階段、使用者、受管理物件和作業識別碼 (opID)。您可以使用相應的篩選器取得特定工作流程的權限。
例如,假設使用者 A 需要建立虛擬機器。建立虛擬機器需要一組特定的權限。使用者 A 必須向系統管理員請求權限。系統管理員可以啟用權限記錄器並執行建立虛擬機器作業。執行權限檢查時,將儲存在「建立虛擬機器」作業期間檢查的權限資料。資料包含 PrivilegeID、sessionID、OpID 等。在此範例中,此系統管理員將使用篩選器取得建立虛擬機器工作流程的權限。系統管理員現在可以建立具有最低所需權限的角色,並將其指派給使用者。