(Este artículo es una traducción al español del artículo publicado en cloud.vmware. Encontraréis un enlace al texto original al final del mismo)
Con el lanzamiento de la versión 1.7 de VMware Cloud sobre AWS, los clientes tienen un mayor control sobre el nivel de acceso de los usuarios de vCenter de su organización. Compruebe en profundidad los diferentes permisos disponibles y las opciones para delegar las labores administrativas de forma granular.
Una de las funcionalidades más demandadas por los usuarios de VMware Cloud en AWS es la capacidad de controlar el nivel de acceso de sus usuarios de vCenter, de forma que los administradores puedan restringir el acceso al inventario cloud y limitar las acciones que puedan realizar los diferentes usuarios de su organización.
Administradores Cloud
El rol de Administrador Cloud en VMware Cloud sobre AWS viene definido por defecto para permitir a los usuarios la gestión de objetos y la administración de vCenter. Un usuario con este rol puede modificar o visualizar objetos de vCenter así como proporcionar acceso a otros usuarios de la organización para que se conviertan en Administradores Cloud. Sin embargo, pese a que este rol ofrece los mayores niveles de acceso posible para un cliente, es habitual que los Administradores Cloud no decidan proporcionar este rol a cada usuario de su organización, sino mas bien ofrecer un conjunto de privilegios más restringido.
Un modelo de permisos flexible para un acceso basado en roles
Con el lanzamiento de la versión 1.7 de VMware Cloud sobre AWS, los clientes disponen de la capacidad de creación de roles personalizados mediante un subconjunto de los privilegios del rol de Administrador Cloud para ofrecer un acceso más granular a los objetos de vCenter
Esto permite la creación de usuarios read-only sobre máquinas virtuales en lugar de dar acceso completo para modificar y borrar las mismas.
Acceso al inventario
Antes del modelo de permisos flexibles, VMware restringía a los clientes a aplicar solo permisos para objetos de cómputo. Con esta nueva mejora, los clientes ahora tendrán la capacidad de aplicar permisos en cualquier nivel del árbol de inventario, al mismo tiempo que protegen los objetos de administración. Esto permitirá a los clientes ejecutar los scripts locales existentes en el inventario de la Cloud sin apenas modificaciones.
Se siguen proporcionando los pool de recursos de computación y gestión de máquinas virtuales respectivamente. Sin embargo, gracias a la flexibilidad de este nuevo modelo, es posible crear máquinas virtuales fuera de los mismos. A pesar de la existencia de esta opción, podría haber competencia de recursos entre las máquinas creadas dentro de los pools de recursos y fuera de las mismas por lo que, con la finalidad de eliminar la competencia entre máquinas, es recomendable seguir haciendo uso de los mismos.
Automatización
A la hora de automatizar, PowerCLI sigue siendo la herramienta predilecta de los clientes para su día a día.
Tal y como se indicó anteriormente, y con el fin de aislar sus cargas de trabajo así como asegurar que no existe competencia entre máquinas virtuales, se recomienda lo siguiente:
- Desde la vista de Host y Cluster, debería emplearse el pool de recursos de computación
- Desde la vista de máquinas virtuales, debería emplearse el directorio Workloads
- Desde la vista de Datastore, debería emplearse el datastore WorkloadDatastore.
Con el fin de simplificar cualquier script contra VMware Cloud sobre AWS, debería considerar definir las siguientes variables globales que mapearan contra los objetos específicos del inventario a los que deberá accederse a la hora de aprovisionar workloads:
$VMCVMFolder= “Workloads”
$VMCResourcePool = “Compute-ResourcePool”
$VMCDatastore = “WorkloadDatastore”
Fuente: https://cloud.vmware.com/community/2019/07/03/vmware-cloud-aws-providing-customers-flexibility-role-based-access-control-vcenter/
Más información sobre soluciones Cloud Más información sobre soluciones VMware