Azure VMware Solution identitetsbegrepp
Azure VMware Solution privata moln etableras med en vCenter Server och NSX-T Manager. Du använder vCenter för att hantera arbetsbelastningar för virtuella datorer (VM) och NSX-T Manager hantera och utöka det privata molnet. CloudAdmin-rollen används för vCenter och begränsade administratörsrättigheter för NSX-T Manager.
vCenter-åtkomst och identitet
I Azure VMware Solution har vCenter en inbyggd lokal användare med namnet cloudadmin som tilldelats rollen CloudAdmin. Du kan konfigurera användare och grupper i Active Directory (AD) med CloudAdmin-rollen för ditt privata moln. I allmänhet skapar och hanterar CloudAdmin-rollen arbetsbelastningar i ditt privata moln. Men i Azure VMware Solution har CloudAdmin-rollen vCenter-behörigheter som skiljer sig från andra VMware-molnlösningar och lokala distributioner.
Viktigt
Den lokala cloudadmin-användaren ska behandlas som ett konto för åtkomst vid akutfall i ditt privata moln. Den är inte för dagliga administrativa aktiviteter eller integrering med andra tjänster.
I en lokal vCenter- och ESXi-distribution har administratören åtkomst till vCenter-administratörens @ vsphere.local-konto. De kan också tilldelas fler AD-användare och -grupper.
I en Azure VMware Solution-distribution har administratören inte åtkomst till administratörsanvändarkontot. De kan dock tilldela AD-användare och -grupper till CloudAdmin-rollen i vCenter. CloudAdmin-rollen har inte behörighet att lägga till en identitetskälla som en lokal LDAP- eller LDAPS-server till vCenter. Du kan dock använda Kör-kommandon för att lägga till en identitetskälla och tilldela cloudadmin-rollen till användare och grupper.
Den privata molnanvändaren har inte åtkomst till och kan inte konfigurera specifika hanteringskomponenter som Microsoft stöder och hanterar. Det kan till exempel vara kluster, värdar, datalager och distribuerade virtuella växlar.
Anteckning
I Azure VMware Solution tillhandahålls domänen vsphere.local SSO som en hanterad resurs för att stödja plattformsåtgärder. Det stöder inte skapande och hantering av andra lokala grupper och användare än de som tillhandahålls som standard i ditt privata moln.
Viktigt
Azure VMware Solution erbjuder anpassade roller på vCenter, men erbjuder dem för närvarande inte på Azure VMware Solution portalen. Mer information finns i avsnittet Skapa anpassade roller på vCenter senare i den här artikeln.
Visa vCenter-behörigheter
Du kan visa de behörigheter som beviljats för Azure VMware Solution CloudAdmin-rollen på din Azure VMware Solution vCenter för privat moln.
Logga in på vSphere-klienten och gå till > Menyadministration.
Under Access Control väljer du Roller.
I listan över roller väljer du CloudAdmin och sedan Privilegier.
CloudAdmin-rollen i Azure VMware Solution har följande behörigheter på vCenter. Mer information finns i produktdokumentationen för VMware.
| Privilege | Description |
|---|---|
| Larm | Bekräfta larm Skapa larm Inaktivera larmåtgärd Ändra larm Ta bort larm Ange larmstatus |
| Innehållsbibliotek | Lägg till biblioteksobjekt Skapa en prenumeration för ett publicerat bibliotek Skapa lokalt bibliotek Skapa ett prenumerationsbibliotek Ta bort biblioteksobjekt Ta bort lokalt bibliotek Ta bort prenumerationsbibliotek Ta bort prenumerationen på ett publicerat bibliotek Ladda ned filer Avlägsna biblioteksobjekt Ta bort prenumerationsbibliotek Importera lagring Avsökning av prenumerationsinformation Publicera ett biblioteksobjekt till dess prenumeranter Publicera ett bibliotek till sina prenumeranter Läslagring Synkronisera biblioteksobjekt Synkronisera prenumererat bibliotek Typintrospion Uppdatera konfigurationsinställningar Uppdatera filer Uppdatera bibliotek Uppdatera biblioteksobjekt Uppdatera lokalt bibliotek Uppdatera bibliotek som prenumererar Uppdatera prenumerationen på ett publicerat bibliotek Visa konfigurationsinställningar |
| Kryptografiska åtgärder | Direktåtkomst |
| Datalager | Allokera utrymme Bläddra i datalager Konfigurera datalager Filåtgärder på låg nivå Ta bort filer Uppdatera metadata för virtuella datorer |
| Mapp | Skapa mapp Ta bort mapp Flytta mapp Byt namn på mapp |
| Global | Avbryt aktivitet Global tagg Hälsa Logghändelse Hantera anpassade attribut Tjänstansvariga Ange anpassat attribut Systemtagg |
| Värd | vSphere-replikering Hantera replikering |
| Nätverk | Tilldela nätverk |
| Behörigheter | Ändra behörigheter Ändra roll |
| Profil | Profildriven lagringsvy |
| Resurs | Tillämpa rekommendation Tilldela vApp till resurspool Tilldela en virtuell dator till resurspoolen Skapa resurspool Migrera avstängd virtuell dator Migrera på den virtuella datorn Ändra resurspool Flytta resurspool Fråga vMotion Ta bort resurspool Byt namn på resurspool |
| Schemalagd aktivitet | Skapa uppgift Ändra uppgift Ta bort uppgift Kör uppgift |
| Sessioner | Meddelande Verifiera session |
| Storage vy | Visa |
| vApp | Lägg till virtuell dator Tilldela resurspool Tilldela vApp Klona Skapa Ta bort Exportera Importera Flytta Avstängning Ström på Byt namn Suspend Avregistrera Visa OVF-miljö vApp-programkonfiguration Konfiguration av vApp-instans vApp managedBy-konfiguration Resurskonfiguration för vApp |
| Virtuell dator | Ändra konfiguration hämta disklån Lägg till befintlig disk Lägg till ny disk Lägga till eller ta bort enhet avancerad konfiguration ändra cpu-antal Ändra minne Ändra inställningar ändra växlingsfilens placering Ändra resurs Konfigurera värdens USB-enhet Konfigurera rådataenhet Configure managedBy Visa anslutningsinställningar Utöka virtuell disk Ändra enhetsinställningar kompatibilitet för frågefeltolerans obevakade filer läs in igen från sökvägar Ta bort disk byt namn återställ gästinformation Ange anteckning Växla spårning av diskändring överordnat växlingsreglage uppgradera kompatibiliteten för virtuella datorer Redigera inventering Skapa från befintlig Skapa ny flytta Registrera Ta bort avregistrering Gäståtgärder aliasändring av gäståtgärd fråga om gäståtgärdsalias gäståtgärdsändringar körning av gäståtgärdsprogram gäståtgärdsfrågor Interaktion svarsfråga på den virtuella datorn Konfigurera CD-media Konfigurera diskettmedia Anslut enheter konsolinteraktion Skapa skärmbild Defragmentering av alla diskar dra och släpp hantering av gästoperativsystemet via VIX API USB HID-skanningskoder Installera VMware-verktyg pausa eller ta bort paus rensa eller krympa åtgärder ström av På spela in session på virtuell dator spela upp session på virtuell dator Pausa Pausa feltolerans redundanstest Starta om sekundär virtuell dator inaktivera feltolerans Aktivera feltolerans Etablering Tillåt diskåtkomst Tillåt filåtkomst Tillåt skrivskyddade diskåtkomst Tillåt nedladdning av virtuell dator Klona mall Klona virtuell dator Skapa mall från virtuell dator Anpassa gäst Distribuera mall Markera som mall Ändra anpassningsspecifikation Höja upp diskar Läs anpassningsspecifikationer Tjänstkonfiguration Tillåt meddelanden Tillåt avsökning av meddelanden om globala händelser Hantera tjänstkonfiguration Ändra tjänstkonfiguration Query-tjänstkonfigurationer Read-tjänstkonfiguration Hantering av ögonblicksbilder Skapa ögonblicksbild Ta bort ögonblicksbild byt namn på ögonblicksbild Revert-ögonblicksbild vSphere-replikering Konfigurera replikering Hantera replikering Övervaka replikering |
| vService | Skapa beroende Förstöra beroende Konfigurera om beroendekonfiguration Uppdatera beroende |
| vSphere-taggning | Tilldela och ta bort tilldelning av vSphere-tagg Skapa vSphere-tagg Skapa taggkategori för vSphere Ta bort vSphere-tagg Ta bort taggkategorin vSphere Redigera vSphere-tagg Redigera taggkategorin vSphere Ändra UsedBy-fält för kategori Ändra UsedBy-fält för tagg |
Skapa anpassade roller på vCenter
Azure VMware Solution har stöd för användning av anpassade roller med samma eller lägre privilegier än CloudAdmin-rollen.
Du använder CloudAdmin-rollen för att skapa, ändra eller ta bort anpassade roller med behörigheter som är mindre än eller lika med deras aktuella roll. Du kan skapa roller med behörigheter som är större än CloudAdmin, men du kan inte tilldela rollen till några användare eller grupper eller ta bort rollen.
Om du vill förhindra att roller skapas som inte kan tilldelas eller tas bort klonar du CloudAdmin-rollen som grund för att skapa nya anpassade roller.
Skapa en anpassad roll
Logga in på vCenter med cloudadmin @ vsphere.local eller en användare med cloudAdmin-rollen.
Gå till konfigurationsavsnittet Roller och välj > Menyadministration > Access Control > Roller.
Välj rollen CloudAdmin och välj åtgärdsikonen Klona roll.
Anteckning
Klona inte administratörsrollen eftersom du inte kan använda den. Dessutom kan den anpassade rollen som skapas inte tas bort av cloudadmin @ vsphere.local.
Ange det namn som du vill använda för den klonade rollen.
Lägg till eller ta bort behörigheter för rollen och välj OK. Den klonade rollen visas i listan Roller.
Tillämpa en anpassad roll
Gå till objektet som kräver den tillagda behörigheten. Om du till exempel vill tillämpa behörighet på en mapp går du till Meny > för virtuella datorer och > mallars mappnamn.
Högerklicka på objektet och välj Lägg till behörighet.
Välj Identitetskälla i listrutan Användare där gruppen eller användaren kan hittas.
Sök efter användaren eller gruppen när du har valt Identitetskälla under avsnittet Användare.
Välj den roll som du vill tillämpa på användaren eller gruppen.
Markera Sprid till underordnade objekt om det behövs och välj OK. Den tillagda behörigheten visas i avsnittet Behörigheter.
NSX-T Manager åtkomst och identitet
Anteckning
NSX-T 3.1.2 stöds för närvarande för alla nya privata moln.
Använd administratörskontot för att komma NSX-T Manager. Den har fullständiga behörigheter och låter dig skapa och hantera gatewayer på nivå 1 (T1), segment (logiska växlar) och alla tjänster. Dessutom ger behörigheterna dig åtkomst till NSX-T-gatewayen på nivå 0 (T0). En ändring av T0-gatewayen kan resultera i försämrad nätverksprestanda eller ingen åtkomst till privata moln. Öppna en supportbegäran i Azure Portal att begära ändringar i din NSX-T T0-gateway.
Nästa steg
Nu när du har gått Azure VMware Solution och identitetsbegrepp kanske du vill veta mer om: