vCenter Serverのアクセス許可の割り当てと変更に関する要点

vCenter Serverのアクセス許可を使用する際にはいくつかの注意点があります。Virtual Storage Console for VMware vSphereのタスクを実行できるかどうかは、アクセス許可を割り当てた場所、およびアクセス許可の変更後にユーザが実行した操作によって決まります。

アクセス許可の割り当て

vCenter Serverのアクセス許可は、vSphereのオブジェクトおよびタスクへのアクセスを制限したい場合にのみ設定します。アクセス許可を設定しない場合は、管理者としてログインできます。管理者としてログインした場合、自動的にすべてのvSphereオブジェクトへのアクセスが可能になります。

アクセス許可を割り当てる場所によって、ユーザが実行できるVSCタスクが決まります。

タスクによっては、最後まで実行するためにはルート オブジェクトなどの上位レベルにアクセス許可を割り当てる必要があります。具体的には、特定のvSphereオブジェクトには適用されない権限(タスクの追跡など)がタスクに必要な場合や、必要な権限がvSphere以外のオブジェクト(ストレージ システムなど)に適用される場合です。

これらの場合には、子エンティティに継承されるようにアクセス許可を設定します。子エンティティには、その他のアクセス許可も割り当てることができます。子エンティティに割り当てたアクセス許可は、親エンティティから継承されたアクセス許可を上書きします。したがって、子エンティティにアクセス許可を割り当てることで、ルート オブジェクトに割り当てられ、子エンティティに継承されたアクセス許可の対象を制限することができます。

ヒント:会社のセキュリティ ポリシーでアクセス許可を厳しく制限することが求められる場合を除き、ルート オブジェクト(ルート フォルダとも呼ばれる)にアクセス許可を割り当てることをお勧めします。

アクセス許可と非vSphereオブジェクト

作成した権限は、vSphere以外のオブジェクトに適用されます。たとえば、ストレージ システムはvSphereオブジェクトではありません。ある権限がストレージ システムに適用される場合、アクセス許可を割り当てることができるvSphereオブジェクトがないため、その権限を含むアクセス許可をVSCルート オブジェクトに割り当てる必要があります。

たとえば、「Add/Modify/Skip storage systems」といったVSC権限を含む任意のアクセス許可は、ルート オブジェクト レベルに割り当てる必要があります。

アクセス許可の変更

一度に変更できるアクセス許可は1つです。

アクセス許可に含まれる権限が変更された場合、そのアクセス許可が関連付けられたユーザは、更新されたアクセス許可を有効にするためにログアウトしてログインし直す必要があります。