На сервере VMware vCenter в новой версии VMware vSphere появились некоторые новые роли и немного изменились привилегии для старых ролей. Ниже приведем список ролей и соответствующие им привилегии в VMware vSphere.
Если нажать правой кнопкой на объекте VMware vSphere (например, хосте ESX) и выбрать пункт "Add Permission", то мы увидим вот такую картинку:
| Роль
| Тип роли
| Выполняемые действия
|
| No Access |
System |
Не может просматривать или изменять объект, которому назначена |
| Вкладки vSphere Client для объектов с этой ролью отображаются без содержимого |
| Роль по умолчанию для всех пользователей компьютера vCenter, за исключением группы Administrators |
| Используется в качестве аналога пермиссии Deny в Windows |
| Read Only |
System |
Может просматривать состояние и детальную информацию об объекте, на который назначена. |
| Может просматривать все вкладки vSphere Client, за исключением вкладки Console |
| Не может исполнять никаких действий из меню и тулбаров |
| Используется для больших начальников, которые контролируют виртуальную инфраструктуру, смотря на красивые графики |
| Administrator |
System |
Все привилегии для всех объектов |
| Добавление, удаление и установка прав и привилегий для всех пользователей vCenter и объектов в VMware vSphere inventory |
| Роль по умолчанию для всех членов локальной группы Administrators на машине vCenter |
| Используется для администраторов виртуальной инфраструктуры, контролирующих все хосты vSphere (ESX и vCenter), включая назначение прав. |
| Resource PoolAdministrator |
Sample |
Набор привилегий для разрешения пользователям создавать дочерние пулы ресурсов без возможности изменения родительского |
| Все привилегии на объекты: folder, ВМ, alarms и scheduled task |
| Некоторые привилегии на global (отмена задач, лог событий, установка отдельных атрибутов), datastore (просмотр), resource (все кроме применения рекомендаций DRS и привязки vApp к пулу) и permissions (изменение, но роль менять нельзя) |
| Нет привилегий для объектов: datacenter, network, host, sessions, or performance privileges groups |
| Обычно назначается для пользователя на кластер (корневой пул) или пул ресурсов |
| Роль доступна только на сервере vCenter (на серверах ESX/ESXi напрямую - недоступна). Используется, в основном, для управления ресурсами пула на уровне либо организационных единиц (например отдел - бухгалтерия), либо на уровне класса SLA. |
| Virtual MachinePower User |
Sample |
Набор привилегий для взаимодействия пользователя с виртуальной машиной |
| Взаимодействие с ВМ (console, insert media) и изменение большинства настроек виртуальной машины |
| Установка параметров ресурсов виртуальной машины (Limit, Reservation, Shares), а также операции с ВМ (например, получение снапшота) |
| Все привилегии для запланированных задач с ВМ (scheduled task) |
| Отдельные привилегии для global (отмена задачи для ВМ), datastore (просмотр) и ВМ (нельзя удалять машину из Inventory и ничего делать, что касается Provisioning - клонирование, превращение в шаблон и т.п.) |
| Не разрешений на объекты: folder, datacenter, network, host, resource, alarms, sessions, performance и permissions |
| Обычно назначается на папку с виртуальными машинами или на конкретную виртуальную машину |
| Роль доступна только на сервере vCenter (на серверах ESX/ESXi напрямую - недоступна). Используется для администраторов общего назначения, которым необходимы операции по изменению конфигурации виртуальных машин (добавление диска, создание снапшота и т.п.) |
| Virtual MachineUser |
Sample |
Набор привилегий для стандартного взаимодействия с виртуальной машиной. Обычно назначается для администраторов конкретных прикладных систем, которым необходимо пользоваться такими функциями ОС как Console или управление питанием (если гостевая ОС "зависла") |
| Взаимодействие с ВМ (console, insert media), но запрещено изменение настроек |
| Все привилегии для запланированных задач с ВМ (scheduled task) |
| Отдельные привилегии для global (отмена задачи) и ВМ (включение-выключение, подключение ISO-образа и т.п.). |
| Нет разрешений на объекты: folder, datacenter, network, host, resource, alarms, sessions, performance и permissions |
| Обычно назначается на папку с виртуальными машинами или на конкретную виртуальную машину |
| Роль доступна только на сервере vCenter (на серверах ESX/ESXi напрямую - недоступна). Используется для продвинутых пользователей виртуальных машин или администраторов конкретных систем (например, нужно перезагрузить зависший сервер). Кстати, роль позволяет включать/выключать VMware Fault Tolerance, так что будьте аккуратны, назначая ее. |
| VMwareConsolidatedBackup User |
Sample |
Роль для использования фреймворком VMware Consolidated Backup (VCB) для резервного копирования, которую не надо изменять. |
| Привилегии, необходимые для создания резервной копии виртуальной машины (на уровне файлов или на уровне образов виртуальных дисков) |
| Роль доступна только на сервере vCenter (на серверах ESX/ESXi напрямую - недоступна) |
| DatastoreConsumer |
Sample |
Набор привилегий, необходимых для выделения пространства под Datastore (NFS, VMFS или RDM). Обычно назначается Storage-администраторам. |
| Возможность выделять пространство на Datastore для виртуальных машин |
| Другие привилегии отсутствуют |
| Роль доступна только на сервере vCenter (на серверах ESX/ESXi напрямую - недоступна) |
| Для выполнения своих функций пользователю понадобятся также разрешения на конкретные ВМ. В совокупности с ними можно, например, позволить создавать снапшот или добавлять виртуальный диск. |
| NetworkConsumer |
Sample |
Набор привилегий для привязки хостов или виртуальных машин к сетям (внутренним для ВМ и внешним для хостов ESX). Обычно назначается сетевым администраторам или сотрудникам информационной безопасности, которым требуется контроль на сетевым взаимодействием всей инфраструктуры. |
| Право назначить network виртуальной машине, сервисной консоли хоста ESX или порту VMkernel. |
| Другие привилегии отсутствуют |
| Роль доступна только на сервере vCenter (на серверах ESX/ESXi напрямую - недоступна) |
| Для выполнения своих функций пользователю понадобятся также разрешения на конкретные ВМ или хосты. |
RSS
