VMware vCenter の CloudSimple プライベート クラウド アクセス許可モデル
CloudSimple は、プライベート クラウド環境への完全な管理アクセスを保持します。 CloudSimple の顧客はそれぞれ、各自の環境で仮想マシンをデプロイおよび管理できるだけの十分な管理特権を付与されます。 必要に応じて、管理機能を実行するための特権を一時的にエスカレートすることができます。
クラウド所有者
プライベート クラウドを作成すると、CloudOwner ユーザーが vCenter シングル サインオン ドメインに作成され、プライベート クラウド内のオブジェクトを管理するための Cloud-Owner-Role アクセスが付与されます。 このユーザーは、追加の vCenter ID ソースやその他のユーザーを、プライベート クラウドの vCenter にセットアップすることもできます。
Note
プライベート クラウドを作成する場合、CloudSimple プライベート クラウドの vCenter の既定のユーザーは cloudowner@cloudsimple.local です。
ユーザー グループ
プライベート クラウドのデプロイの間に、Cloud-Owner-Group というグループが作成されます。 このグループのユーザーは、プライベート クラウド上の vSphere 環境のさまざまな部分を管理できます。 このグループには Cloud-Owner-Role 特権が自動的に付与され、CloudOwner ユーザーがこのグループのメンバーとして追加されます。 CloudSimple は、管理を容易にするために、限られた特権を持つ追加のグループを作成します。 これらの事前作成済みグループに任意のユーザーを追加することができ、以下で定義する特権がグループ内のユーザーに自動的に割り当てられます。
事前作成済みグループ
| グループ名 | 目的 | Role |
|---|---|---|
| Cloud-Owner-Group | このグループのメンバーは、プライベート クラウドの vCenter に対する管理特権を持ちます | Cloud-Owner-Role |
| Cloud-Global-Cluster-Admin-Group | このグループのメンバーは、プライベート クラウドの vCenter クラスター上で管理特権を持ちます | Cloud-Cluster-Admin-Role |
| Cloud-Global-Storage-Admin-Group | このグループのメンバーはプライベート クラウドの vCenter 上のストレージを管理できます | Cloud-Storage-Admin-Role |
| Cloud-Global-Network-Admin-Group | このグループのメンバーは、プライベートクラウド vCenter 上のネットワークおよび分散ポートグループを管理できます | Cloud-Network-Admin-Role |
| Cloud-Global-VM-Admin-Group | このグループのメンバーは、プライベート クラウドの vCenter 上の仮想マシンを管理できます | Cloud-VM-Admin-Role |
プライベート クラウドを管理するためのアクセス許可を個々のユーザーに付与するには、ユーザー アカウントを作成して適切なグループに追加します。
注意事項
新しいユーザーは、Cloud-Owner-Group、Cloud-Global-Cluster-Admin-Group、Cloud-Global-Storage-Admin-Group、Cloud-Global-Network-Admin-Group、または Cloud-Global-VM-Admin-Group にのみ追加する必要があります。 Administrators グループに追加されたユーザーは自動的に削除されます。 [管理者] グループに追加する必要があるのはサービス アカウントだけです。また、サービス アカウントを使用して vSphere Web UI にサインインすることはできません。
既定のロールの vCenter 特権の一覧
Cloud-Owner-Role
| カテゴリ | 特権 |
|---|---|
| アラーム | アラートの確認 アラームの作成 アラーム アクションの無効化 アラームの変更 アラームの削除 アラームの状態の設定 |
| アクセス許可 | アクセス許可の変更 |
| コンテンツ ライブラリ | ライブラリ項目の追加 ローカル ライブラリの作成 サブスクライブ済みライブラリの作成 ライブラリ項目の削除 ローカル ライブラリの削除 サブスクライブ済みライブラリの削除 ファイルのダウンロード ライブラリ項目の強制削除 サブスクライブ済みライブラリの強制削除 ストレージのインポート サブスクリプション情報のプローブ ストレージの読み取り ライブラリ項目の同期 サブスクライブ済みライブラリの同期 イントロスペクションの入力 構成設定の更新 ファイルの更新 ライブラリの更新 ライブラリ項目の更新 ローカル ライブラリの更新 サブスクライブ済みライブラリの更新 構成設定の表示 |
| 暗号化操作 | ディスクの追加 複製 復号化 直接アクセス Encrypt 新しく暗号化 KMS の管理 暗号化ポリシーの管理 キーの管理 移行 再暗号化 VM の登録 ホストの登録 |
| dvPort グループ | 作成 削除 変更 ポリシー操作 スコープ操作 |
| データストア | 領域の割り当て データストアを参照する データストアの構成 低レベルのファイル操作 データストアの移動 データストアの削除 ファイルの削除 データストアの名前変更 仮想マシン ファイルの更新 仮想マシン メタデータの更新 |
| ESX エージェント マネージャー | Config 変更 表示 |
| 拡張子 | 拡張機能の登録 拡張機能の登録解除 拡張機能の更新 |
| 外部統計プロバイダー | 登録 Unregister 更新 |
| フォルダー | フォルダーの作成 フォルダーの削除 フォルダーの移動 フォルダー名の変更 |
| グローバル | タスクの取り消し 容量計画 診断 メソッドの無効化 メソッドの有効化 グローバル タグ Health ライセンス イベントのログ記録 カスタム属性の管理 プロキシ スクリプト アクション サービス マネージャー カスタム属性の設定 システム タグ |
| 正常性更新プロバイダー | 登録 Unregister 更新 |
| ホスト > 構成 | ストレージ パーティション構成 |
| ホスト > インベントリ | クラスターの変更 |
| vSphere のタグ付け | vSphere タグの割り当てまたは割り当て解除 vSphere タグの作成 vSphere タグ カテゴリの作成 vSphere タグの削除 vSphere タグ カテゴリの削除 vSphere タグの編集 vSphere タグ カテゴリの編集 カテゴリの UsedBy フィールドの変更 タグの UsedBy フィールドの変更 |
| Network | ネットワークの割り当て 構成 ネットワークの移動 [削除] |
| パフォーマンス | 間隔の変更 |
| ホスト プロファイル | 表示 |
| リソース | Apply recommendation リソース プールへの vApp の割り当て リソース プールへの仮想マシンの割り当て リソース プールの作成 電源がオフの仮想マシンの移行 電源がオンの仮想マシンの移行 リソース プールの変更 リソース プールの移動 vMotion のクエリ リソース プールの削除 リソース プールの名前変更 |
| スケジュールされたタスク | タスクを作成する タスクの変更 タスクの削除 タスクの実行 |
| セッション | ユーザーの偽装 Message セッションの検証 セッションの表示と停止 |
| データストア クラスター | データストア クラスターの構成 |
| プロファイル駆動型ストレージ | プロファイル駆動型ストレージの更新 プロファイル駆動型ストレージの表示 |
| ストレージ ビュー | サービスの構成 表示 |
| タスク | タスクを作成する タスクの更新 |
| 転送サービス | 管理する モニター |
| vApp | 仮想マシンの追加 リソース プールの割り当て vApp の割り当て 複製 作成 削除 エクスポート [インポート] 詳細ビュー 電源オフ 電源投入 [名前の変更] [中断] Unregister OVF 環境の表示 vApp アプリケーション構成 vApp インスタンス構成 vApp managedBy 構成 vApp リソース構成 |
| VRMPolicy | VRMPolicy のクエリ VRMPolicy の更新 |
| 仮想マシン > 構成 | 既存のディスクの追加 新しいディスクの追加 デバイスの追加または削除 上級 CPU 数の変更 リソースの変更 managedBy の構成 ディスク変更追跡 ディスク リース 接続設定の表示 仮想ディスクの拡張 ホスト USB デバイス メモリ デバイスの設定の変更 フォールト トレランス互換性のクエリ 所有者のないファイルのクエリ RAW デバイス パスから再読み込み ディスクの削除 名前の変更 ゲスト情報のリセット 注釈の設定 設定 スワップファイル配置 フォークの親の切り替え 仮想マシンのロック解除 仮想マシン互換性の更新 |
| 仮想マシン > ゲスト操作 | ゲスト操作エイリアスの変更 ゲスト操作エイリアスのクエリ ゲスト操作の変更 ゲスト操作プログラム実行 ゲスト操作クエリ |
| 仮想マシン > 対話 | 質問に答える 仮想マシンに対するバックアップ操作 CD メディアの構成 フロッピー メディアの構成 コンソール対話 スクリーンショットの作成 すべてのディスクのデフラグ デバイスの接続 ドラッグ アンド ドロップ VIX API によるゲスト オペレーティング システム管理 USB HID スキャン コードの挿入 一時停止または一時停止解除 ワイプまたはシュリンク操作の実行 電源オフ 電源投入 仮想マシン上のセッションの記録 仮想マシン上のセッションの再生 Reset フォールト トレランスの再開 [中断] フォールト トレランスの一時停止 [テスト フェールオーバー] セカンダリ VM の再起動のテスト フォールト トレランスの無効化 フォールト トレランスの有効化 VMware Tools のインストール |
| 仮想マシン > インベントリ | 既存からの作成 新規作成 詳細ビュー 登録 [削除] Unregister |
| 仮想マシン > プロビジョニング | ディスク アクセスの許可 ファイル アクセスの許可 読み取り専用ディスク アクセスの許可 仮想マシンのダウンロードの許可 仮想マシン ファイルのアップロードの許可 テンプレートの複製 仮想マシンの複製 仮想マシンからテンプレートを作成 カスタマイズ テンプレートのデプロイ テンプレートとしてマーク 仮想マシンとしてマーク カスタマイズ仕様の変更 ディスクの昇格 カスタマイズ仕様の読み取り |
| 仮想マシン > サービス構成 | 通知の許可 グローバル イベント通知のポーリングの許可 サービス構成の管理 サービス構成の変更 サービス構成のクエリ サービス構成の読み取り |
| 仮想マシン > スナップショット管理 | スナップショットの作成 スナップショットの削除 スナップショットの名前変更 スナップショットに戻す |
| 仮想マシン > vSphere レプリケーション | レプリケーションの設定 レプリケーションの管理 レプリケーションを監視します |
| vService | 依存関係の作成 依存関係の破棄 依存関係の再構成 依存関係の更新 |
Cloud-Cluster-Admin-Role
| カテゴリ | 特権 |
|---|---|
| データストア | 領域の割り当て データストアを参照する データストアの構成 低レベルのファイル操作 データストアの削除 データストアの名前変更 仮想マシン ファイルの更新 仮想マシン メタデータの更新 |
| フォルダー | フォルダーの作成 フォルダーの削除 フォルダーの移動 フォルダー名の変更 |
| ホスト > 構成 | ストレージ パーティション構成 |
| vSphere のタグ付け | vSphere タグの割り当てまたは割り当て解除 vSphere タグの作成 vSphere タグ カテゴリの作成 vSphere タグの削除 vSphere タグ カテゴリの削除 vSphere タグの編集 vSphere タグ カテゴリの編集 カテゴリの UsedBy フィールドの変更 タグの UsedBy フィールドの変更 |
| Network | ネットワークの割り当て |
| リソース | Apply recommendation リソース プールへの vApp の割り当て リソース プールへの仮想マシンの割り当て リソース プールの作成 電源がオフの仮想マシンの移行 電源がオンの仮想マシンの移行 リソース プールの変更 リソース プールの移動 vMotion のクエリ リソース プールの削除 リソース プールの名前変更 |
| vApp | 仮想マシンの追加 リソース プールの割り当て vApp の割り当て 複製 作成 削除 エクスポート [インポート] 詳細ビュー 電源オフ 電源投入 [名前の変更] [中断] Unregister OVF 環境の表示 vApp アプリケーション構成 vApp インスタンス構成 vApp managedBy 構成 vApp リソース構成 |
| VRMPolicy | VRMPolicy のクエリ VRMPolicy の更新 |
| 仮想マシン > 構成 | 既存のディスクの追加 新しいディスクの追加 デバイスの追加または削除 上級 CPU 数の変更 リソースの変更 managedBy の構成 ディスク変更追跡 ディスク リース 接続設定の表示 仮想ディスクの拡張 ホスト USB デバイス メモリ デバイスの設定の変更 フォールト トレランス互換性のクエリ 所有者のないファイルのクエリ RAW デバイス パスから再読み込み ディスクの削除 名前の変更 ゲスト情報のリセット 注釈の設定 設定 スワップファイル配置 フォークの親の切り替え 仮想マシンのロック解除 仮想マシン互換性の更新 |
| 仮想マシン > ゲスト操作 | ゲスト操作エイリアスの変更 ゲスト操作エイリアスのクエリ ゲスト操作の変更 ゲスト操作プログラム実行 ゲスト操作クエリ |
| 仮想マシン > 対話 | 質問に答える 仮想マシンに対するバックアップ操作 CD メディアの構成 フロッピー メディアの構成 コンソール対話 スクリーンショットの作成 すべてのディスクのデフラグ デバイスの接続 ドラッグ アンド ドロップ VIX API によるゲスト オペレーティング システム管理 USB HID スキャン コードの挿入 一時停止または一時停止解除 ワイプまたはシュリンク操作の実行 電源オフ 電源投入 仮想マシン上のセッションの記録 仮想マシン上のセッションの再生 Reset フォールト トレランスの再開 [中断] フォールト トレランスの一時停止 [テスト フェールオーバー] セカンダリ VM の再起動のテスト フォールト トレランスの無効化 フォールト トレランスの有効化 VMware Tools のインストール |
| 仮想マシン > インベントリ | 既存からの作成 新規作成 詳細ビュー 登録 [削除] Unregister |
| 仮想マシン > プロビジョニング | ディスク アクセスの許可 ファイル アクセスの許可 読み取り専用ディスク アクセスの許可 仮想マシンのダウンロードの許可 仮想マシン ファイルのアップロードの許可 テンプレートの複製 仮想マシンの複製 仮想マシンからテンプレートを作成 カスタマイズ テンプレートのデプロイ テンプレートとしてマーク 仮想マシンとしてマーク カスタマイズ仕様の変更 ディスクの昇格 カスタマイズ仕様の読み取り |
| 仮想マシン > サービス構成 | 通知の許可 グローバル イベント通知のポーリングの許可 サービス構成の管理 サービス構成の変更 サービス構成のクエリ サービス構成の読み取り |
| 仮想マシン > スナップショット管理 | スナップショットの作成 スナップショットの削除 スナップショットの名前変更 スナップショットに戻す |
| 仮想マシン > vSphere レプリケーション | レプリケーションの設定 レプリケーションの管理 レプリケーションを監視します |
| vService | 依存関係の作成 依存関係の破棄 依存関係の再構成 依存関係の更新 |
Cloud-Storage-Admin-Role
| カテゴリ | 特権 |
|---|---|
| データストア | 領域の割り当て データストアを参照する データストアの構成 低レベルのファイル操作 データストアの削除 データストアの名前変更 仮想マシン ファイルの更新 仮想マシン メタデータの更新 |
| ホスト > 構成 | ストレージ パーティション構成 |
| データストア クラスター | データストア クラスターの構成 |
| プロファイル駆動型ストレージ | プロファイル駆動型ストレージの更新 プロファイル駆動型ストレージの表示 |
| ストレージ ビュー | サービスの構成 表示 |
Cloud-Network-Admin-Role
| カテゴリ | 特権 |
|---|---|
| dvPort グループ | 作成 削除 変更 ポリシー操作 スコープ操作 |
| Network | ネットワークの割り当て 構成 ネットワークの移動 [削除] |
| 仮想マシン > 構成 | デバイスの設定の変更 |
Cloud-VM-Admin-Role
| カテゴリ | 特権 |
|---|---|
| データストア | 領域の割り当て データストアを参照する |
| Network | ネットワークの割り当て |
| リソース | リソース プールへの仮想マシンの割り当て 電源がオフの仮想マシンの移行 電源がオンの仮想マシンの移行 |
| vApp | エクスポート [インポート] |
| 仮想マシン > 構成 | 既存のディスクの追加 新しいディスクの追加 デバイスの追加または削除 上級 CPU 数の変更 リソースの変更 managedBy の構成 ディスク変更追跡 ディスク リース 接続設定の表示 仮想ディスクの拡張 ホスト USB デバイス メモリ デバイスの設定の変更 フォールト トレランス互換性のクエリ 所有者のないファイルのクエリ RAW デバイス パスから再読み込み ディスクの削除 名前の変更 ゲスト情報のリセット 注釈の設定 設定 スワップファイル配置 フォークの親の切り替え 仮想マシンのロック解除 仮想マシン互換性の更新 |
| 仮想マシン >ゲスト操作 | ゲスト操作エイリアスの変更 ゲスト操作エイリアスのクエリ ゲスト操作の変更 ゲスト操作プログラム実行 ゲスト操作クエリ |
| 仮想マシン >対話 | 質問に答える 仮想マシンに対するバックアップ操作 CD メディアの構成 フロッピー メディアの構成 コンソール対話 スクリーンショットの作成 すべてのディスクのデフラグ デバイスの接続 ドラッグ アンド ドロップ VIX API によるゲスト オペレーティング システム管理 USB HID スキャン コードの挿入 一時停止または一時停止解除 ワイプまたはシュリンク操作の実行 電源オフ 電源投入 仮想マシン上のセッションの記録 仮想マシン上のセッションの再生 Reset フォールト トレランスの再開 [中断] フォールト トレランスの一時停止 [テスト フェールオーバー] セカンダリ VM の再起動のテスト フォールト トレランスの無効化 フォールト トレランスの有効化 VMware Tools のインストール |
| 仮想マシン >インベントリ | 既存からの作成 新規作成 詳細ビュー 登録 [削除] Unregister |
| 仮想マシン >プロビジョニング | ディスク アクセスの許可 ファイル アクセスの許可 読み取り専用ディスク アクセスの許可 仮想マシンのダウンロードの許可 仮想マシン ファイルのアップロードの許可 テンプレートの複製 仮想マシンの複製 仮想マシンからテンプレートを作成 カスタマイズ テンプレートのデプロイ テンプレートとしてマーク 仮想マシンとしてマーク カスタマイズ仕様の変更 ディスクの昇格 カスタマイズ仕様の読み取り |
| 仮想マシン >サービス構成 | 通知の許可 グローバル イベント通知のポーリングの許可 サービス構成の管理 サービス構成の変更 サービス構成のクエリ サービス構成の読み取り |
| 仮想マシン >スナップショット管理 | スナップショットの作成 スナップショットの削除 スナップショットの名前変更 スナップショットに戻す |
| 仮想マシン >vSphere レプリケーション | レプリケーションの設定 レプリケーションの管理 レプリケーションを監視します |
| vService | 依存関係の作成 依存関係の破棄 依存関係の再構成 依存関係の更新 |