【VMware】ロールでの権限設定に関する学習記録

2024年2月2日

こんにちは、キクです。

本記事は、僕が自己学習で学んだことをブログでアウトプットするシリーズになります。
今回は『VMwareにおけるロールでの権限設定』について書いていこうと思います。

それでは、よろしくお願いします。

注意事項

本記事は自己学習としてのアウトプットが目的となります。

そのため、本記事には誤った情報が含まれる可能性もありますが、ご了承ください。

ロールでの権限設定について

VMware公式情報として、ロールについては次のように説明されている

ロールとは、事前に定義された権限セットです。権限は、操作の実行やプロパティの読み取りを行う権利を定義します。

たとえば、仮想マシン管理者ロールを持つユーザーには、仮想マシン属性の読み取りや変更が許可されます。

権限を割り当てるときは、ユーザーまたはグループをロールとペアにして、このペアをインベントリ オブジェクトに関連付けます
各ユーザーまたはグループには、インベントリのオブジェクトごとに異なるロールを設定できます。

たとえば、インベントリにプール A とプール B という 2 つのリソース プールがある場合、Sales グループに、プール A では仮想マシン ユーザー ロールを割り当て、プール B では読み取り専用ロールを割り当てることができます。
この場合、Sales グループのユーザーはプール A の仮想マシンをパワーオンできますが、プール B の仮想マシンは表示のみが可能です。

デフォルトでは「システムロール」と「サンプルロール」が利用できる

■システムロール

システムロールは永続的なロール
このロールに関連付けられた権限は変更できない

■サンプルロール

頻繁に実行される特定の組み合わせの権限をまとめたロール
これらのロールはクローン / 作成 / 変更 / 削除することができる

参考:ロールを使用した権限の割り当て

オブジェクトへの権限追加時に設定する項目

実際にユーザAに対して「クラスタ」などのオブジェクトへの権限を設定する際には、以下の項目を設定する

  1. ドメイン
  2. ユーザー / グループ
  3. ロール
  4. 子へ伝達

ユーザに権限を追加する際の手順

  1. インベントリオブジェクトをクリック
  2. 権限タブをクリック
  3. +をクリックし、「権限の追加」をクリック
  4. ユーザにて、ユーザが所属するドメインを選択
  5. 対象ユーザを検索して指定
  6. 割り当てたいロールを選択
  7. 必要に応じて子に伝達にチェックを入れる

選択したドメイン配下に存在するユーザー/グループの中で、対象のvCenterへの接続権限があるユーザー/グループが選択できる模様
指定したユーザー/グループに対してvCenter上で作成したロールの権限が与えられる

「子へ伝達」にチェックを入れた場合、そのオブジェクトだけでなく、その配下のオブジェクトに対しても権限が付与される

例えば、「vCenter ->データセンタ -> フォルダ -> 仮想マシン」というオブジェクト構成において、あるユーザAに対して「フォルダ」に「子へ伝達」にチェックを入れた状態でロールAを割り当てた場合、権限を与えられたユーザAは指定したフォルダおよびその配下の仮想マシンに対してロールAに紐付けられた権限の操作が可能になる

なお、上記の場合には「フォルダ」の親となる「vCenter」や「データセンタ」は画面上表示はされるものの、「このオブジェクトを表示する権限がないか、オブジェクトが存在しません。」と表示されて操作はできない

各オブジェクトでの操作内容

【層1】vCenter :「このオブジェクトを表示する権限がないか~」と表示されて操作不可

【層2】データセンタ :「このオブジェクトを表示する権限がないか~」と表示されて操作不可

【層3】フォルダ(親):ロールAに則った操作が可能

【層4】仮想マシン(子):ロールAに則った操作が可能

関連調査メモ

定義範囲に関するメモ

このオブジェクト

データセンタやクラスタなど「指定したオブジェクト」のみを対象とする模様
オブジェクトに対する権限の追加画面にて「子へ伝達」にチェックをいれなければ「このオブジェクト」で設定される

例えば、ユーザAに対して「データセンタ」に「このオブジェクト」として指定した場合、ユーザAはデータセンタに対しての権限は与えられるが、その配下の「クラスタ」などに対する権限は与えられない

この設定状態の場合、データセンタの権限設定一覧にはユーザAが表示されるが、その配下のクラスタなどの権限設定一覧には表示されない
もし「クラスタ」にも権限が欲しい場合には、別途クラスタに対しても「このオブジェクト」などの指定が必要

このオブジェクトとその子

オブジェクトに対する権限の追加画面にて「子へ伝達」にチェックをいれることで「このオブジェクトとその子」になる

例えば、ユーザAに対して「データセンタ」に「このオブジェクトとその子」を指定した場合、データセンタおよびその配下のすべてのオブジェクトに対して権限が与えられる

この設定状態の場合、各オブジェクトの権限設定一覧では次のような表示となる

各オブジェクトの権限設定一覧におけるユーザAの「定義範囲」の見え方

【層1】vCenter :非表示(権限を与えていないため)

【層2】データセンタ(親) :「このオブジェクトとその子」と表示される

【層3】クラスタ(子):「データセンタ名」が表示される

【層4】ホスト(子):「データセンタ名」が表示される

クラスタやホストで定義範囲が「データセンタ名」と表示されるのは、おそらく「データセンタにて「このオブジェクトとその子」が指定されている」ということを明確にするためと思われる

権限設定の例

プライベートクラウドとして顧客に仮想マシンの操作権限のみを与える といったケースにおいては、次のような権限を与えたりする

相互作用

  • コンソールとの相互作用
  • パワーオフ
  • パワーオン
  • リセット
  • 質問への回答

スナップショット系の操作権限を与えたい場合には、次のような項目も追加

スナップショット管理

  • スナップショットに戻す
  • スナップショットの作成
  • スナップショットの削除
  • スナップショット名の変更

参考情報

参考:vCenterコンポーネントの権限の管理
参考:一般的なタスクに必要な権限
参考:ロールの作成およびドメインまたはローカル ユーザー/グループへの仮想マシンの作成および管理権限の割り当て (1023189)

-学習記録, VMware
-,