vCenter Server 中,全域權限會套用到跨 VMware 解決方案的全域根物件。在內部部署 SDDC 中,全域權限可能會跨越 vCenter ServerVMware Aria Automation Orchestrator。但對於任何 vSphere SDDC,全域權限適用於標籤和內容程式庫等全域物件。

您可以將全域權限指派給使用者或群組,並決定每個使用者或群組的角色。角色決定了使用者或群組針對階層中所有物件所具有的權限集。您可以指派預先定義的角色,或建立自訂角色。請參閱使用 vCenter Server 角色指派權限

區分 vCenter Server 權限和全域權限是十分重要的。

表 1. vCenter Server 權限與全域權限之間的差異
權限類型 說明
vCenter Server vCenter Server 權限適用於詳細目錄階層中的特定物件,如主機、虛擬機器、資料存放區等。指派 vCenter Server 權限後,指定某使用者或群組具有該物件上的角色 (一組權限)。
全域 全域權限會賦予使用者或群組檢視或管理您部署中每個詳細目錄階層上所有物件的權限。全域權限也適用於標籤和內容程式庫等全域物件。請參閱標籤物件的 vCenter Server 權限

如果您指派了全域權限且未選取 [散佈],則此權限相關聯的使用者或群組將沒有存取階層中物件的權限。這些使用者或群組將只能存取部分全域功能 (例如建立角色)。

新增全域權限

您可以使用全域權限為部署中所有詳細目錄階層的所有物件指定使用者或群組權限。

重要: 請謹慎使用全域權限。確認您確實要將權限指派給所有詳細目錄階層中的所有物件。

必要條件

若要執行此工作,您必須擁有所有詳細目錄階層之根物件的權限.修改權限權限。

程序

  1. 使用 vSphere Client登入 vCenter Server
  2. 在 [存取控制] 區域中,選取管理並按一下全域權限
  3. 按一下新增
  4. (選擇性) 如果您已設定外部身分識別提供者進行同盟驗證,則可在網域下拉式功能表中選取該身分識別提供者的網域。
  5. 對於 vSphere+ 環境,如果從網域下拉式功能表中選取了 VMware 識別碼,請在使用者名稱欄位中輸入 CSP 帳戶的名稱。
    備註:

    使用者名稱欄位中輸入 CSP 帳戶的電子郵件地址。無法在 VMwareID 網域中搜尋 CSP 帳戶。

  6. 選取將獲得由所選角色定義之權限的使用者或群組。
    1. 網域下拉式功能表中,選取使用者或群組的網域。
    2. 在 [搜尋] 方塊中輸入名稱。
      系統會搜尋使用者和群組名稱。
    3. 選取使用者或群組。
  7. 角色下拉式功能表中選取角色。
  8. 決定是否要選取散佈到子系核取方塊來散佈權限。
    如果您指派了全域權限且未選取 散佈到子系,此權限相關聯的使用者或群組將沒有存取階層中物件的權限。這些使用者或群組將只能存取部分全域功能 (例如建立角色)。
  9. 按一下確定

標籤物件的 vCenter Server 權限

vCenter Server 物件階層中,標籤物件不是 vCenter Server 的子系,但卻在 vCenter Server 頂層中建立。在包含多個 vCenter Server 執行個體的環境中,標籤物件在 vCenter Server 執行個體之間共用。標籤物件的權限與 vCenter Server 物件階層中其他物件的權限的運作方式有所不同。

僅全域權限或指派至標籤物件的權限適用

如果您授與 vCenter Server 詳細目錄物件 (例如虛擬機器) 的權限給使用者,該使用者可以執行與權限相關聯的工作。但是,使用者無法對物件執行標籤作業。

例如,如果您將 指派 vSphere 標籤權限授與主機 TPA 上的使用者 Dana,該權限不會影響 Dana 是否可在主機 TPA 上指派標籤。Dana 必須擁有頂層的 指派 vSphere 標籤權限,即全域權限;或必須擁有標籤物件的權限。
表 2. 全域權限和標籤物件權限如何影響使用者可採取的動作
全域權限 標籤層級權限 vCenter Server 物件層級權限 有效權限
未指派標記權限。 Dana 擁有標籤的指派或取消指派 vSphere 標籤權限。 Dana 擁有 ESXi 主機 TPA 上的刪除 vSphere 標籤權限。 Dana 擁有標籤的指派或取消指派 vSphere 標籤權限。
Dana 擁有指派或取消指派 vSphere 標籤權限。 未針對標籤指派權限。 Dana 擁有 ESXi 主機 TPA 上的刪除 vSphere 標籤權限。 Dana 擁有指派或取消指派 vSphere 標籤全域權限。其包括標籤層級的權限。
未指派標記權限。 未針對標籤指派權限。 Dana 擁有 ESXi 主機 TPA 上的指派或取消指派 vSphere 標籤權限。 Dana 沒有任何物件 (包括主機 TPA) 的標記權限。

全域權限補充標籤物件權限

全域權限,即頂層物件上指派的權限,會在標籤物件上的權限限制較嚴格時補充標籤物件上的權限。vCenter Server 權限不會影響標籤物件。

例如,假定您透過使用全域權限將刪除 vSphere 標籤權限指派給位於頂層的使用者 Robin。對於標籤 [生產],您沒有將刪除 vSphere 標籤權限指派給 Robin。在這種情況下,Robin 擁有標籤 [生產] 的權限,因為他擁有從頂層散佈的全域權限。除非您修改全域權限,否則您無法限制權限。

表 3. 全域權限補充標籤層級權限
全域權限 標籤層級權限 有效權限
Robin 擁有刪除 Robin vSphere 標籤權限 Robin 沒有標籤的刪除 vSphere 標籤權限。 Robin 擁有刪除 Robin vSphere 標籤權限。
未指派標記權限 Robin 沒有針對標籤指派的刪除 vSphere 標籤權限。 Robin 沒有刪除 vSphere 標籤權限

標籤層級權限可延伸全域權限

您可以使用標籤層級權限來延伸全域權限。這表示使用者可同時擁有標籤的全域權限和標籤層級權限。

備註: 此行為不同於繼承 vCenter Server 權限的方式。在 vCenter Server 中,為子物件定義的權限一律覆寫從父系物件散佈的權限。
表 4. 全域權限延伸標籤層級權限
全域權限 標籤層級權限 有效權限
Lee 擁有指派或取消指派 vSphere 標籤權限。 Lee 擁有刪除 vSphere 標籤權限。 Lee 擁有標籤的指派 vSphere 標籤權限以及刪除 vSphere 標籤權限。
未指派標記權限。 Lee 擁有針對標籤指派的刪除 vSphere 標籤權限。 Lee 擁有標籤的刪除 vSphere 標籤權限。