你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

设置和管理对 VMware 资源的自助式访问

在 Azure 中启用 VMware vSphere 资源后，为团队设置自助服务体验的最后一步是为他们提供访问权限。 本文介绍如何使用内置角色通过 Azure 基于角色的访问控制 (RBAC) 管理对 VMware 资源的精细访问，并允许团队部署和管理 VM。

先决条件

• vCenter 必须连接到 Azure Arc。
• vCenter 资源（例如 Resourcepools/clusters/hosts、网络、模板和数据存储）必须已启用 Arc。
• 必须在范围（资源组/订阅）内具有用户访问管理员或所有者角色，才能将角色分配给其他用户。

提供访问权限来使用已启用 Arc 的 vSphere 资源

若要预配 VMware VM，并更改其大小、添加磁盘、更改网络接口或删除这些 VM，用户需要有权使用计算、网络和存储，并有权使用他们将使用的 VM 模板资源。 这些权限由内置的 Azure Arc VMware 私有云用户角色提供。

必须在用户或组需要访问的单个资源池（或群集或主机）、网络、数据存储和模板上分配此角色。

1. 转到 Arc 中心中的 VMware vCenter 列表。

2. 搜索并选择 vCenter。

3. 导航到目录的“vCenter 清单”部分中的 Resourcepools/clusters/hosts。

4. 查找并选择 resourcepool（或群集或主机）。 这会转到表示 resourcepool 的 Arc 资源。

5. 选择目录中的“访问控制(IAM)”。

6. 在“授予对此资源的访问权限”上，选择“添加角色分配”。

7. 选择“Azure Arc VMware 私有云用户”角色，然后选择“下一步”。

8. 选中“选择成员”，然后搜索要对其提供访问权限的 Microsoft Entra 用户或组。

9. 选择 Microsoft Entra 用户或组名称。 对要将此权限授予给的每个用户或组重复此操作。

10. 选择“查看 + 分配”以完成角色分配。

11. 对于要对其提供访问权限的每个数据存储、网络和 VM 模板，重复步骤 3-9。

如果已将 vSphere 资源组织到资源组中，你可以在资源组范围内提供相同的角色。

用户现在有权访问 VMware vSphere 云资源。 但是，用户还需要对要在其中部署和管理 VM 的订阅/资源组拥有权限。

提供对要在其中部署 VM 的订阅或资源组的访问权限

除了有权通过 Azure Arc VMware 私有云用户角色访问 VMware vSphere 资源外，用户还必须对在其中部署和管理 VM 的订阅和资源组拥有权限。

Azure Arc VMware VM 参与者角色是一种内置角色，它提供执行所有 VMware 虚拟机操作的权限。

1. 转到 Azure 门户。

2. 搜索并导航到要向其提供访问权限的订阅或资源组。

3. 选择左侧目录中的访问控制(IAM)。

4. 在“授予对此资源的访问权限”上，选择“添加角色分配”。

5. 选择“Azure Arc VMware VM 参与者”角色，然后选择“下一步”。

6. 选中“选择成员”选项，然后搜索要对其提供访问权限的 Microsoft Entra 用户或组。

7. 选择 Microsoft Entra 用户或组名称。 对要将此权限授予给的每个用户或组重复此操作。

8. 选择“查看 + 分配”来完成角色分配。

后续步骤

教程 - 使用已启用 Azure Arc 的 vSphere 创建 VM。