vCenter Server のアクセス許可の割り当てと変更に関する要点
vCenter Server のアクセス許可を使用する際にはいくつかの点に注意する必要があります。VMware vSphere タスク用の ONTAP ツールを使用できるかどうかは、アクセス許可を割り当てた場所、およびアクセス許可の変更後にユーザが実行した操作によって決まります。
権限を割り当てます
vCenter Server のアクセス許可は、 vSphere のオブジェクトおよびタスクへのアクセスを制限したい場合にのみ設定します。それ以外の場合は、管理者としてログインできます。このログインでは、すべての vSphere オブジェクトに自動的にアクセスできます。
アクセス許可を割り当てる場所によって、ユーザが実行できるONTAP toolsタスクが決まります。
タスクによっては、完了を確認するために、ルートオブジェクトなどの上位レベルにアクセス許可を割り当てる必要があります。具体的には、特定の vSphere オブジェクトには適用されない権限(タスクの追跡など)がタスクに必要な場合や、必要な権限環境が vSphere 以外のオブジェクト(ストレージシステムなど)に必要な場合です。
このような場合は、子エンティティに継承されるようにアクセス許可を設定できます。子エンティティには、他の権限も割り当てることができます。子エンティティに割り当てたアクセス許可は、親エンティティから継承されたアクセス許可を上書きします。したがって、子エンティティにアクセス許可を割り当てることで、ルートオブジェクトに割り当てられ、子エンティティに継承されたアクセス許可の対象を制限することができます。
会社のセキュリティポリシーでアクセス許可を厳しく制限することが求められる場合を除き、ルートオブジェクト(ルートフォルダとも呼ばれる)にアクセス許可を割り当てることを推奨します。 |
アクセス許可と非 vSphere オブジェクト
作成したアクセス許可は、 vSphere 以外のオブジェクトに適用されます。たとえば、ストレージシステムは vSphere オブジェクトではありません。ストレージシステムの権限環境の場合は、その権限を含むアクセス許可をONTAP toolsのルートオブジェクトに割り当てる必要があります。これは、ストレージシステムを割り当てることができるvSphereオブジェクトがないためです。
たとえば、ONTAP toolsの「Add/Modify/Skip storage systems」などの権限を含むすべての権限は、ルートオブジェクトレベルに割り当てる必要があります。
アクセス許可の変更
一度に変更できるアクセス許可は 1 つです。
アクセス許可に含まれる権限が変更された場合、そのアクセス許可が関連付けられたユーザは、更新されたアクセス許可を有効にするためにログアウトしてログインし直す必要があります。