В vCenter для настройки прав доступа используется ролевая модель. Вы можете создать какую-то роль, назначить ей определенные привилегии. Потом добавить к объекту пользователя (локального или доменного, в зависимости от ваших настроек) и назначить ему роль. Допустимо наследование.
Administration → Access Control → Roles.
Рекомендации при настройке ролей
- Старайтесь выдавать права группам, а не конкретным пользователям.
- Выдавайте права только при необходимости. Выдавайте минимальные привилегии, чтобы не запутаться в структуре прав доступа.
- Если вы ограничиваете права группе, убедитесь что в ней не находятся администраторы. Вы можете случайно лишить администраторов необходимых им привилегий.
- Используйте папки для группировки объектов в соответствии с различными разрешениями, которые вы хотите им предоставить.
- Будьте осторожны при предоставлении разрешения на корневом уровне сервера vCenter. Пользователи с разрешениями на корневом уровне имеют доступ к глобальным данным на сервере vCenter, таким как роли, пользовательские атрибуты, настройки сервера vCenter и лицензии. Изменения лицензий и ролей распространяются на все серверные системы vCenter в группе Linked Mode, даже если у пользователя нет разрешений на все серверные системы vCenter в группе.
- В большинстве случаев используйте наследование. Это позволит выдавать автоматически распространять права на новые созданные объекты.
- Используйте роль No Access для скрытия определённых зон иерархии, в которые не хотите никому давать доступ.
Системные роли
В vCenter и ESXi имеются предустановленные системные роли, права которых нельзя изменить.
Administrator
- Все привилегии для всех объектов.
- Может добавлять, удалять, устанавливать права и привилегии для всех пользователей vCenter Server и всех объектов виртуальной инфраструктуры.
Read Only
- Просмотр состояния и информации об объектах
- Просмотр всех вкладок в интерфейсе.
- Запрет на выполнение действий в меню.
No Access
- Не может просматривать или изменять объекты.
- Вкладки доступны, но информация отсутствует.
- В основном используется для отзыва унаследованных разрешений.
Примеры ролей
В vCenter 7 имеются примеры ролей, которые можно склонировать и на их основе создать свою роль.
Content library administrator (sample)
- Администрирование Content library.
Привилегии Content library administrator (sample)
- Content Library
- Add library item
- Add root certificate to trust store
- Check in a template
- Check out a template
- Create a subscription for a published library
- Create local library
- Create or delete a Harbor registry
- Create subscribed library
- Create, delete or purge a Harbor registry project
- Delete library item
- Delete local library
- Delete root certificate from trust store
- Delete subscribed library
- Delete subscription of a published library
- Download files
- Evict library item
- Evict subscribed library
- Probe subscription information
- Publish a library item to its subscribers
- Publish a library to its subscribers
- Read storage
- Sync library item
- Sync subscribed library
- Type introspection
- Update configuration settings
- Update files
- Update library
- Update library item
- Update local library
- Update subscribed library
- Update subscription of a published library
- View configuration settings
Content Library Registry administrator (sample)
- Администрирование реестра Content library.
Привилегии Content Library Registry administrator (sample)
- Content Library
- Create or delete a Harbor registry
- Create, delete or purge a Harbor registry project
Datastore consumer (sample)
Привилегии
Datastore consumer (sample)
Network administrator (sample)
Привилегии Network administrator (sample)
Resource pool administrator (sample)
- Управление пулами ресурсов.
Привилегии
Resource pool administrator (sample)
- Alarms
- Create alarm
- Modify alarm
- Remove alarm
- Permissions
- Datastore
- Folder
- Create folder
- Delete folder
- Move folder
- Rename folder
- Global
- Cancel task
- Log event
- Set custom attribute
- Resource
- Assign virtual machine to resource pool
- Create resource pool
- Migrate powered off virtual machine
- Migrate powered on virtual machine
- Modify resource pool
- Move resource pool
- Query vMotion
- Remove resource pool
- Rename resource pool
- Scheduled task
- Create tasks
- Modify task
- Remove task
- Run task
- Virtual machine
- Change Configuration
- Acquire disk lease
- Add existing disk
- Add new disk
- Add or remove device
- Advanced configuration
- Change CPU count
- Change Memory
- Change Settings
- Change resource
- Configure Raw device
- Modify device settings
- Remove disk
- Rename
- Reset guest information
- Upgrade virtual machine compatibility
- Edit Inventory
- Create from existing
- Create new
- Move
- Register
- Remove
- Unregister
- Interaction
- Answer question
- Configure CD media
- Configure floppy media
- Connect devices
- Console interaction
- Install VMware Tools
- Power off
- Power on
- Reset
- Suspend
- Provisioning
- Allow disk access
- Allow read-only disk access
- Allow virtual machine download
- Allow virtual machine files upload
- Clone template
- Clone virtual machine
- Create template from virtual machine
- Customize guest
- Deploy template
- Mark as template
- Mark as virtual machine
- Modify customization specification
- Read customization specifications
- Snapshot management
- Create snapshot
- Remove snapshot
- Rename snapshot
- Revert to snapshot
Virtual machine power user (sample)
- Расширенное управление виртуальными машинами.
Привилегии
Virtual machine power user (sample)
- Datastore
- Global
- Scheduled task
- Create tasks
- Modify task
- Remove task
- Run task
- Virtual machine
- Change Configuration
- Acquire disk lease
- Add existing disk
- Add new disk
- Add or remove device
- Advanced configuration
- Change CPU count
- Change Memory
- Change Settings
- Change resource
- Modify device settings
- Remove disk
- Rename
- Reset guest information
- Upgrade virtual machine compatibility
- Interaction
- Answer question
- Configure CD media
- Configure floppy media
- Connect devices
- Console interaction
- Guest operating system management by VIX API
- Install VMware Tools
- Power off
- Power on
- Reset
- Suspend
- Snapshot management
- Create snapshot
- Remove snapshot
- Rename snapshot
- Revert to snapshot
Virtual machine user (sample)
- Управление виртуальными машинами.
Привилегии Virtual machine user (sample)
- Global
- Scheduled task
- Create tasks
- Modify task
- Remove task
- Run task
- Virtual machine
- Interaction
- Answer question
- Configure CD media
- Configure floppy media
- Connect devices
- Console interaction
- Install VMware Tools
- Power off
- Power on
- Reset
- Suspend
VMware Consolidated Backup user (sample)
- Управление резервным копированием VM
Привилегии
VMware Consolidated Backup user (sample)
- Virtual machine
- Change Configuration
- Provisioning
- Allow read-only disk access
- Allow virtual machine download
- Snapshot management
- Create snapshot
- Remove snapshot
Другие роли
В vCenter 7 есть и другие предустановленные роли с различными наборами прав доступа, которые можно менять и удалять. Эти роли используются, изменяйте на свой страх и риск. А лучше не изменяйте.
Ссылки
https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-93B962A7-93FA-4E96-B68F-AE66D3D6C663.html
https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-18071E9A-EED1-4968-8D51-E0B4F526FDA3.html
