vCenter Serverアクセス許可の要素

vCenter Serverで認識されるのはアクセス許可で、権限ではありません。vCenter Serverアクセス許可は3つの要素で構成されます。

vCenter Serverの要素は次のとおりです。

次の図に示すように、3つの要素がすべて揃っていないとアクセスは許可されません。

注: グレーのボックスはvCenter Server側の要素、白のボックスはvCenter Serverを実行しているオペレーティング システム側の要素を表しています。

権限

Virtual Storage Console for VMware vSphereに関連付けられる権限は2種類あります。

VSCのタスクを実行するには、VSC固有の権限とvCenter Server標準の権限の両方が必要です。これらの権限からユーザのロールが構成されます。アクセス許可には複数の権限を含めることができます。これらの権限は、vCenter Serverにログインしているユーザに適用されます。

注: vCenter Server RBACの使用を簡単にするため、VSCには、VSCタスクの実行に必要なVSC固有の権限と標準の権限をすべて含む標準ロールがいくつか用意されています。

アクセス許可に含まれる権限が変更された場合、そのアクセス許可が関連付けられたユーザは、更新されたアクセス許可を有効にするためにログアウトしてログインし直す必要があります。

表 1. VSCの権限
権限 ロール タスク
NetApp Virtual Storage Console > View
  • VSC Administrator
  • VSC Provision
  • VSC Read-Only
VSCおよびVASA Provider固有のタスクにはすべてView権限が必要です。
NetApp Virtual Storage Console > Policy Based Management > Managementまたはprivilege.nvpfVSC.VASAGroup.com.netapp.nvpf.label > Management VSC Administrator ストレージ機能プロファイルおよびしきい値設定に関連するVSCおよびVASA Providerのタスク。

vSphereオブジェクト

アクセス許可はvSphereオブジェクトに関連付けられます。vCenter Server、ESXiホスト、仮想マシン、データストア、データセンター、フォルダなど、 任意のvSphereオブジェクトにアクセス許可を割り当てることができます。vSphereオブジェクトに割り当てられたアクセス許可に基づいて、そのオブジェクトに対してどのユーザがどのタスクをvCenter Serverで実行できるかが決まります。VSC固有のタスクについては、アクセス許可の割り当てと検証はルートフォルダ レベル(vCenter Server)でのみ行われ、それ以外のエンティティでは行われません。ただしVAAIプラグインの処理は例外で、関連するESXiに対してアクセス許可が検証されます。

ユーザとグループ

ユーザとグループは、Active Directory(またはローカルのvCenter Serverマシン)を使用して設定できます。その後、設定したユーザまたはグループにvCenter Serverアクセス許可を付与することで、特定のVSCタスクの実行を許可することができます。

注: これらのvCenter Serverアクセス許可は、VSC管理者以外のVSC vCenterユーザに適用されます。VSC管理者には、デフォルトでフル アクセスが許可されるため、アクセス許可を割り当てる必要はありません。

ユーザとグループにはロールは割り当てられません。vCenter Serverアクセス許可を割り当てることで、間接的にロールが適用されます。