遵循角色和權限的最佳做法,盡可能地提高 vCenter Server 環境的安全性和管理性。
在 vCenter Server 環境中設定角色和權限時,請遵循下列最佳做法:
- 可以的話,請將角色指派給群組,而不是個別使用者。
- 僅在有需要的物件上授與權限,並且僅將權限指派給必須具有這些權限的使用者或群組。使用最少權限數可以更輕鬆地瞭解和管理權限結構。
- 如果要為群組指派限制性角色,請確定該群組不包含管理員使用者或其他具有管理權限的使用者。否則,您可能無意中限制了詳細目錄階層組成部分 (已從中向該群組指派了限制性角色) 中管理員的權限。
- 將物件分組到資料夾中,以便更輕鬆地指派權限。例如,若要在一組主機上授與修改權限,而在另一組主機上授與檢視權限,請將每組主機置於一個資料夾中。
- 將權限新增到根 vCenter Server 物件時,請務必謹慎。具有根層級權限的使用者有權存取 vCenter Server 上的全域資料,如角色、自訂屬性、vCenter Server 設定。
- 當您將權限指派給物件時,請考慮啟用傳播。傳播可確保物件階層中的新物件繼承權限。例如,您可以為虛擬機器資料夾指派權限並啟用傳播,以確保此權限會套用至資料夾中的所有虛擬機器。
- 使用無存取權角色來遮罩階層的特定區域。無存取權角色會限制具有該角色的使用者或群組的存取權。但是,對於虛擬機器和 vAPP,權限傳播鏈結有兩條。在其中一條鏈結上指派具有「無存取權」角色的傳播權限並不意味著相應的 vApp 或虛擬機器不會傳播任何權限。
- 對授權的變更會傳播到相同 vCenter Single Sign-On 網域中的所有連結 vCenter Server 系統。
- 即使使用者沒有所有 vCenter Server 系統的權限,授權傳播仍會進行。