vSphere安全性 该图说明了清单层次结构和权限传播的路径。 注全局权限支持从全局根对象跨多个解决方案分配特权。请参见全局权限 图22. vSphere清单层次结构 根口象(全局口限口口) 内容口 vCenter Server v Center Server实例级别) 标记类别 库项目 数据中心文件口 标记 数据中心 虚口机文件口 主机文件口 网口文件口 数据存口文件口 模板 主机 标准交换机 数据存口 资源池 群集 分布式端口口数据存口群集 虚口机 VAp 虚口机 虚口机 资源池 虚口机 大多数清单对象在层次结构中从单一父对象继承权限。例如,数据存储从其父数据存储文件夹或父数据中心 继承权限。虚拟机同时从父虚拟机文件夹和父主机、群集或资源池继承权限 例如,可为 Distributed switch及其关联的分布式端口组设置权限,方法是设置对父对象(例如文件夹或数 据中心)的权限。此外,还必须选择将这些权限传播给子对象的选项。 VMware,lc保留所有权利
该图说明了清单层次结构和权限传播的路径。 注 全局权限支持从全局根对象跨多个解决方案分配特权。请参见全局权限。 图 2‑2. vSphere 清单层次结构 模板 主机 VDS 数据存户 群集 vApp vApp vApp 虚户机 虚户机 资源池 资源池 虚户机 虚户机 资源池 标准交换机 分布式端口户 数据存户群集 虚户机文件户 主机文件户 数据中心 vCenter Server (vCenter Server 实例级别) 网户文件户 数据存户文件户 数据中心文件户 根户象(全局户限户户) 标记类别 标记 内容户 库项目 大多数清单对象在层次结构中从单一父对象继承权限。例如,数据存储从其父数据存储文件夹或父数据中心 继承权限。虚拟机同时从父虚拟机文件夹和父主机、群集或资源池继承权限。 例如,可为 Distributed Switch 及其关联的分布式端口组设置权限,方法是设置对父对象(例如文件夹或数 据中心)的权限。此外,还必须选择将这些权限传播给子对象的选项。 vSphere 安全性 VMware, Inc. 保留所有权利。 21
vSphere安全性 限在层次结构中有多种形式 受管实体 特权用户可以对受管实体定义权限。 群集 数据中心 数据存储 数据存储群集 文件夹 主机 网络( vSphere Distributed Switch除外) 分布式端口组 资源池 模板 虚拟机 ■ vSphere vApp 全局实体 不能修改从根 VCenter server系统中派生权限的实体的权限。 自定义字段 许可证 角色 统计间隔 会话 多项权限设置 对象可能拥有多种权限,但每个用户或组只拥有一种权限。例如,一种权限可能指定组A对某个对象具有管 理员特权。另一种权限可能指定组B对同一个对象具有虚拟机管理员特权。 如果某个对象从两个父对象继承了权限,则对一个对象的权限将添加到对另一个对象的权限中。例如,假定 某个虚拟机位于虚拟机文件夹中,同时还属于资源池。该虚拟机将同时从虚拟机文件夹和资源池继承所有权 限设置。 在子对象上应用的权限始终会替代在父对象上应用的权限。请参见示例2:子权限替代父权限。 如果对同一对象定义了多个组权限,且用户属于这些组中的两个或多个组,则可能出现以下两种情况: 没有任何用户权限是直接在对象上定义的。在这种情况下,用户拥有各组对该对象所拥有的特权 用户的权限是直接在对象上定义的。在这种情况下,用户的权限将优先于所有组权限。 VMware,lc保留所有权利
权限在层次结构中有多种形式: 受管实体 特权用户可以对受管实体定义权限。 n 群集 n 数据中心 n 数据存储 n 数据存储群集 n 文件夹 n 主机 n 网络(vSphere Distributed Switch 除外) n 分布式端口组 n 资源池 n 模板 n 虚拟机 n vSphere vApp 全局实体 不能修改从根 vCenter Server 系统中派生权限的实体的权限。 n 自定义字段 n 许可证 n 角色 n 统计间隔 n 会话 多项权限设置 对象可能拥有多种权限,但每个用户或组只拥有一种权限。例如,一种权限可能指定组 A 对某个对象具有管 理员特权。另一种权限可能指定组 B 对同一个对象具有虚拟机管理员特权。 如果某个对象从两个父对象继承了权限,则对一个对象的权限将添加到对另一个对象的权限中。例如,假定 某个虚拟机位于虚拟机文件夹中,同时还属于资源池。该虚拟机将同时从虚拟机文件夹和资源池继承所有权 限设置。 在子对象上应用的权限始终会替代在父对象上应用的权限。请参见示例 2:子权限替代父权限。 如果对同一对象定义了多个组权限,且用户属于这些组中的两个或多个组,则可能出现以下两种情况: n 没有任何用户权限是直接在对象上定义的。在这种情况下,用户拥有各组对该对象所拥有的特权。 n 用户的权限是直接在对象上定义的。在这种情况下,用户的权限将优先于所有组权限。 vSphere 安全性 VMware, Inc. 保留所有权利。 22
vSphere安全性 示例1:继承多个权限 此示例说明了对象如何从组(在父对象上授予了权限)中继承多个权限 在此示例中,为两个不同组中的同一对象分配两种权限 角色1可启动虚拟机。 角色2可对虚拟机执行快照。 在虚拟机文件夹上为组A授予角色1,并将权限设置为传播到子对象。 在虚拟机文件夹上为组B授予角色2,并将权限设置为传播到子对象 用户1未获得特定特权 属于组A和组B的用户1登录。用户1可以同时启动虚拟机A和虚拟机B并对其执行快照 图23.示例1:继承多个权限 组A+角色1 虚拟机文件夹 组B+角色2 虚拟机A 用户1具有角色1和角色2的特权 应拟机B 示例2:子权限替代父权限 此示例说明了为子对象分配的权限如何覆盖为父对象分配的权限。可以使用此替代行为限制用户访问清单的 在此示例中,权限在两个不同组的两个不同对象上定义 角色1可启动虚拟机。 角色2可对虚拟机执行快照。 在虚拟机文件夹上为组A授予角色1,并将权限设置为传播到子对象 在虚拟机B上为组B授予角色2。 属于组A和组B的用户1登录。因为在层次结构中,角色2被分配在角色1之下,所以它将在虚拟机B上 替代角色1。用户1可以启动虚拟机A,但不能执行快照。用户1可对虚拟机B执行快照但无法将其启动。 图2-4.示例2:子权限替代父权限 组A+角色1 件夹 用户1仅具有角色1的特权 虚拟机A 组B+角色2 用户1仅具有角色2的特权 VMware,lc保留所有权利
示例 1:继承多个权限 此示例说明了对象如何从组(在父对象上授予了权限)中继承多个权限。 在此示例中,为两个不同组中的同一对象分配两种权限。 n 角色 1 可启动虚拟机。 n 角色 2 可对虚拟机执行快照。 n 在虚拟机文件夹上为组 A 授予角色 1,并将权限设置为传播到子对象。 n 在虚拟机文件夹上为组 B 授予角色 2,并将权限设置为传播到子对象。 n 用户 1 未获得特定特权。 属于组 A 和组 B 的用户 1 登录。用户 1 可以同时启动虚拟机 A 和虚拟机 B 并对其执行快照。 图 2‑3. 示例 1:继承多个权限 组 B + 角色 2 用户 1 具有角色 1 和角色 2 的特权 组 A + 角色 1 虚拟机 A 虚拟机 B 虚拟机文件夹 示例 2:子权限替代父权限 此示例说明了为子对象分配的权限如何覆盖为父对象分配的权限。可以使用此替代行为限制用户访问清单的 特定区域。 在此示例中,权限在两个不同组的两个不同对象上定义。 n 角色 1 可启动虚拟机。 n 角色 2 可对虚拟机执行快照。 n 在虚拟机文件夹上为组 A 授予角色 1,并将权限设置为传播到子对象。 n 在虚拟机 B 上为组 B 授予角色 2。 属于组 A 和组 B 的用户 1 登录。因为在层次结构中,角色 2 被分配在角色 1 之下,所以它将在虚拟机 B 上 替代角色 1。用户 1 可以启动虚拟机 A,但不能执行快照。用户 1 可对虚拟机 B 执行快照但无法将其启动。 图 2‑4. 示例 2:子权限替代父权限 虚拟机 A 虚拟机 B 虚拟机文件夹 组 B + 角色 2 用户 1 仅具有角色 1 的特权 用户 1 仅具有角色 2 的特权 组 A + 角色 1 vSphere 安全性 VMware, Inc. 保留所有权利。 23
vSphere安全性 示例3:用户角色替代组角色 下例说明了直接分配给单个用户的角色如何替代与分配给组的角色关联的特权 在此示例中,权限在相同的对象上定义。一种权限与包含某个角色的组相关联,另一种权限与包含某个角色 的单个用户相关联。用户属于组成员 角色1可启动虚拟机 在虚拟机文件夹上为组A授予角色1。 在虚拟机文件夹上为用户1授予无权访问角色。 属于组A的用户1登录。在虚拟机文件夹上为用户1授予的无权访问角色替代分配给组的角色。用户1无 权访问虚拟机文件夹或虚拟机A和B 图25.示例3:用户权限替代组权限 组A+角色1 应拟机文件夹 用户1+无访问权限一 虚拟机A 用户1无访问文件夹 或虚拟机的权限 应拟机B 管理 v Center组件的权限 权限在 vCenter对象层次结构中的对象上设置。每种权限与包含用户或组的对象以及该组或用户的访问角色 相关联。例如,您可以选择一个虚拟机对象,添加一种权限用于向组1授予只读角色,然后添加另一种权限 用于将管理员角色授予用户2 通过将不同角色分配给不同对象的用户组,您可控制这些用户能够在 vSphere环境中执行的任务。例如,要 允许组配置主机内存,请选择该主机并添加用于向该组授予角色的权限,包括主机配置内存配置特权 要从 vSphere Client管理权限,需要了解以下概念 vCenter server对象层次结构中的每个对象都具有关联的权限。每个权限为 一个组或用户指定该组或用户具有对象的哪些特权 用户和组 在 vCenter server系统中,可以仅向经过身份验证的用户或经过身份验证的 用户组分配特权。用户通过 vCenter Single Sign-On进行身份验证。必须在 v Center Single Sign-On用于进行身份验证的标识源中定义用户和组。使用您 的标识源(例如 Active Directory)中的工具定义用户和组。 特权 特权是精细的访问控制。可以将这些特权分组到角色中,然后可以将其映射到 户或组 角色 角色是指一组特权。角色允许您基于用户执行的一系列典型任务分配对对象的 权限。默认角色(例如管理员)已在 Center server中预定义,不能更改 其他角色(例如资源池管理员)是预定义的样本角色。可以从头开始或者通过 克隆和修改样本角色创建自定义角色。请参见创建自定义角色, VMware,lc保留所有权利
示例 3:用户角色替代组角色 下例说明了直接分配给单个用户的角色如何替代与分配给组的角色关联的特权。 在此示例中,权限在相同的对象上定义。一种权限与包含某个角色的组相关联,另一种权限与包含某个角色 的单个用户相关联。用户属于组成员。 n 角色 1 可启动虚拟机。 n 在虚拟机文件夹上为组 A 授予角色 1。 n 在虚拟机文件夹上为用户 1 授予无权访问角色。 属于组 A 的用户 1 登录。在虚拟机文件夹上为用户 1 授予的无权访问角色替代分配给组的角色。用户 1 无 权访问虚拟机文件夹或虚拟机 A 和 B。 图 2‑5. 示例 3:用户权限替代组权限 虚拟机 A 虚拟机 B 虚拟机文件夹 用户 1 + 无访问权限 用户 1 无访问文件夹 或虚拟机的权限 组 A + 角色 1 管理 vCenter 组件的权限 权限在 vCenter 对象层次结构中的对象上设置。每种权限与包含用户或组的对象以及该组或用户的访问角色 相关联。例如,您可以选择一个虚拟机对象,添加一种权限用于向组 1 授予只读角色,然后添加另一种权限 用于将管理员角色授予用户 2。 通过将不同角色分配给不同对象的用户组,您可控制这些用户能够在 vSphere 环境中执行的任务。例如,要 允许组配置主机内存,请选择该主机并添加用于向该组授予角色的权限,包括主机.配置.内存配置特权。 要从 vSphere Client 管理权限,需要了解以下概念: 权限 vCenter Server 对象层次结构中的每个对象都具有关联的权限。每个权限为 一个组或用户指定该组或用户具有对象的哪些特权。 用户和组 在 vCenter Server 系统中,可以仅向经过身份验证的用户或经过身份验证的 用户组分配特权。用户通过 vCenter Single Sign-On 进行身份验证。必须在 vCenter Single Sign-On 用于进行身份验证的标识源中定义用户和组。使用您 的标识源(例如 Active Directory)中的工具定义用户和组。 特权 特权是精细的访问控制。可以将这些特权分组到角色中,然后可以将其映射到 用户或组。 角色 角色是指一组特权。角色允许您基于用户执行的一系列典型任务分配对对象的 权限。默认角色(例如管理员)已在 vCenter Server 中预定义,不能更改。 其他角色(例如资源池管理员)是预定义的样本角色。可以从头开始或者通过 克隆和修改样本角色创建自定义角色。请参见创建自定义角色。 vSphere 安全性 VMware, Inc. 保留所有权利。 24
vSphere安全性 可以在不同的层次结构级别为对象分配权限,例如,可以为主机对象或包含所有主机对象的文件夹对象分配 权限。请参见权限的层次结构继承。还可以向全局根对象分配权限,以将权限应用于所有解决方案中的所有 对象。请参见全局权限。 将权限添加到清单对象 在创建用户和组并定义角色后,必须将用户和组及其角色分配给相关的清单对象。通过将对象移动到文件夹 并在文件夹上设置权限,可以同时将相同的权限分配给多个对象。 分配权限时,用户和组名称必须与 Active Directory精确匹配,包括大小写。如果从 vSphere的早期版本进 行升级,则在遇到组问题时,请检查大小写是否不一致。 前提条件 在要修改其权限的对象上,必须具有包含权限修改权限特权的角色。 步骤 1在 vSphere Client对象导航器中,浏览到要为其分配权限的对象。 2单击权限选项卡。 3单击添加权限图标。 选择将拥有选定角色所定义的特权的用户或组。 a从用户下拉菜单中,选择用户或组所在的域 b在“搜索”框中键入名称 系统将搜索用户名和组名称 c选择用户或组 5从角色下拉菜单中选择角色。 6(可选)要传播权限,请选中传播到子对象复选框。 角色将应用于选定对象,并传播到子对象。 7单击确定以添加权限。 更改或移除权限 在为清单对象设置用户或组和角色对后,可以更改与用户或组配对的角色或更改传播到子项复选框的设置。 还可移除权限设置。 1在 vSphere Client对象导航器中,浏览到对象。 2单击权限选项卡 VMware,lc保留所有权利
可以在不同的层次结构级别为对象分配权限,例如,可以为主机对象或包含所有主机对象的文件夹对象分配 权限。请参见权限的层次结构继承。还可以向全局根对象分配权限,以将权限应用于所有解决方案中的所有 对象。请参见全局权限。 将权限添加到清单对象 在创建用户和组并定义角色后,必须将用户和组及其角色分配给相关的清单对象。通过将对象移动到文件夹 并在文件夹上设置权限,可以同时将相同的权限分配给多个对象。 分配权限时,用户和组名称必须与 Active Directory 精确匹配,包括大小写。如果从 vSphere 的早期版本进 行升级,则在遇到组问题时,请检查大小写是否不一致。 前提条件 在要修改其权限的对象上,必须具有包含权限.修改权限特权的角色。 步骤 1 在 vSphere Client 对象导航器中,浏览到要为其分配权限的对象。 2 单击权限选项卡。 3 单击添加权限图标。 4 选择将拥有选定角色所定义的特权的用户或组。 a 从用户下拉菜单中,选择用户或组所在的域。 b 在“搜索”框中键入名称。 系统将搜索用户名和组名称。 c 选择用户或组。 5 从角色下拉菜单中选择角色。 6 (可选) 要传播权限,请选中传播到子对象复选框。 角色将应用于选定对象,并传播到子对象。 7 单击确定以添加权限。 更改或移除权限 在为清单对象设置用户或组和角色对后,可以更改与用户或组配对的角色或更改传播到子项复选框的设置。 还可移除权限设置。 步骤 1 在 vSphere Client 对象导航器中,浏览到对象。 2 单击权限选项卡。 vSphere 安全性 VMware, Inc. 保留所有权利。 25