Documentation VMware : Privilèges requis pour les tâches courantes (Créer une machine virtuelle) http://pubs.vmware.com/vsphere-60/index.jsp#com.vmware.vsphere.security.doc/GUID-4D0F8E63-2961-4B71-B365-BBFA24673FDB.html#GUID-4D0F8E63-2961-4B71-B365-BBFA24673FDB
Résumé des privilèges requis :
Privilège | Objet concerné | Rôle attribué |
---|---|---|
Machine virtuelle.Inventaire .Créer | Pool de ressources concerné | Administrateur |
Dossier spécifique | Créateur VMs | |
Machine virtuelle.Configuration.Ajouter un nouveau disque (en cas de création d'un nouveau disque virtuel) | Pool de ressources concerné | Administrateur |
Machine virtuelle.Configuration.Ajouter un disque existant (en cas d'utilisation d'un disque virtuel existant) | Pool de ressources concerné | Administrateur |
Ressource.Attribuer une machine virtuelle au pool de ressources | Pool de ressources concerné | Administrateur |
Banque de données.Allouer de l'espace | Dossier spécifique | Créateur VMs |
Banque de données.Parcourir banque de données | Dossier spécifique | Créateur VMs |
Réseau.Assigner un réseau | Réseau concerné | Créateur VMs |
La mise en oeuvre de cette gestion se fera, à titre d'exemple, avec les informations suivantes :
Au niveau des hôtes et Clusters, création du dossier ICN dans le centre de données existant Datacenter :
Pour faire simple, un seul rôle supplémentaire appelé Créateur VMs est créé avec les privilèges nécessaires. Ce rôle sera utilisé sur plusieurs objets, là où cela est requis.
Cette autorisation est uniquement définie pour la banque de données de l'un des ESX qui est appelée datastore1 dans Vsphère.
Cette autorisation est uniquement définie pour le réseau VM Network. Il est bien sûr possible, comme pour les autorisations précédentes, de le faire à un niveau supérieur pour permettre l'utilisation de tous les réseaux (VLANs)
Attention : pour gérer ce que peut ou ne peut pas voir et faire l'utilisateur, il faudra cocher ou pas l'option Propager vers les enfants, c'est à dire limiter ou pas le rôle à l'objet.