Oracle VM Manager GUIは、それ自体が管理者ツールです。管理者アカウントには、すべての機能およびOracle VM Managerを介して管理されるすべてのリソースへの完全なアクセス権があります。したがって、環境の構成および日々の管理を担当するわずかなユーザーにのみアカウントを与えることを強くお薦めします。また、管理者は、仮想マシンのゲスト・オペレーティング・システムへのアクセス権を持ち、Oracle VM Manager GUI内からVMコンソールを使用する必要があります。ただし、仮想マシン・アクセス権を持つすべてのユーザーがOracle VM管理者になる必要はありません。これは、最小権限のセキュリティ原則に違反します。(第1.2.3項「最小特権の原則に従う」を参照してください。)Oracle VMの特定のデプロイメントによっては、他の方法で仮想マシン・アクセス権を付与する場合があります。

仮想マシンへのアクセス制御を次の3つの方法に区別します。

VMコンソール・アクセス

Oracle VM管理者は、Oracle VM Managerのコンソールを介して、仮想マシンのゲスト・オペレーティング・システムに常にアクセスできます。これは、Oracle VM環境でホストされている仮想マシンへ接続する標準の方法です。たとえば、仮想マシンが、アプリケーションおよびサービスをホストしているサーバーである場合、システム管理者によって構成および保持されています。このタイプの設定では、エンド・ユーザーは、サーバー上で実行しているサービスまたはアプリケーションと対話しますが、仮想マシン自体にはログオンしません。

このモデルでは、1人のみまたは少数のシステム管理者がOracle VM Managerコンソールを介して仮想マシンにアクセスできます。セキュリティの観点から、少数の管理者アカウントは、管理しやすく、Oracle VMリソースが他のすべてのユーザーから非表示で保護されたままになります。

直接VMアクセス

特定のユーザーに仮想マシンへの管理アクセス権が必要であるが、Oracle VM環境の管理者でない場合は、Oracle VM Managerの追加の管理者アカウントを作成することはお薦めしません。かわりに、Oracle VM管理者は、仮想マシン・ユーザーがOracle VM Managerを経由せずに接続を確立できるように、仮想マシンを設定およびリモート接続を構成する必要があります。直接VMアクセスを確立するには、物理サーバーと同じ原則および手順に従います。

ロール・ベースのアクセス

Oracle VMの大規模なデプロイメントには、ユーザー管理およびアクセス制御に関して、異なる要件があります。前述の2つのアクセス方法の組合せは、仮想マシンの数が増えるとともに、管理しにくくなり、別のカテゴリのユーザーには、仮想化リソースのグループへの別のレベルのアクセスが必要になります。環境が大きく複雑である場合、ロールベースのアクセス制御およびディレクトリ・サービスの統合などの機能が必要です。Oracle VM Managerにこの機能はありませんが、必要な場合は、Oracle VM環境とOracle Enterprise Managerを統合できます。

Oracle Enterprise Managerとの統合によって、Oracle VMに次のような重要な管理機能が多数追加されます。

Oracle Enterprise Managerによるロール・ベースのアクセス制御の概要については、Oracle's Virtualization Blog (https://blogs.oracle.com/virtualization/entry/crash_course_role_based_access)の投稿を参照してください。

Oracle VMとOracle Enterprise Managerの統合の詳細は、Oracle Enterprise Managerのドキュメントを参照してください。