Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Allgemeine bewährte Methoden
Notice (Hinweis)
Seit dem 30. April 2024 AWS wird VMware Cloud on nicht mehr von AWS oder seinen Channel-Partnern weiterverkauft. Der Service wird weiterhin über Broadcom verfügbar sein. Wir empfehlen Ihnen, sich für weitere Informationen an Ihren AWS Vertreter zu wenden.
Wichtig
Viele der in diesem Handbuch beschriebenen VMware-Services werden in anderen Cloud- oder On-Premises-VMware-Lösungen verwendet. Die Empfehlungen und bewährten Methoden in diesem Handbuch beziehen sich speziell auf VMware Cloud in AWS. Diese Empfehlungen gelten möglicherweise nicht für andere Umgebungen.
Beachten Sie die folgenden AWS Empfehlungen für die Verwaltung von Identität und Zugriff auf Ihre VMware-Cloud-Infrastruktur:
-
Wenden Sie eine Richtlinie mit der geringsten Berechtigung an. Verwenden Sie die rollenbasierte Zugriffskontrolle (RBAC), um den Benutzern die zur Ausführung ihrer Aufgaben erforderlichen Mindestberechtigungen und den Zugriff zu gewähren.
-
Erteilen Sie, wenn möglich, Gruppen und nicht einzelnen Benutzern Berechtigungen.
-
Vermeiden Sie es, lokale Benutzer zu konfigurieren. Authentifizieren Sie Benutzer anhand eines externen, verbundenen Identitätsanbieters.
-
Konfigurieren der Multi-Faktor-Authentifizierung für alle Benutzer.
-
Ihre Passwortrichtlinie sollte Anforderungen an die Passwortstärke und Rotation beinhalten.
-
Dokumentieren Sie ein „Break-Glass“-Verfahren für die Übernahme der vollständigen administrativen Kontrolle über die VMware-Organisation und die zugehörigen Services. „Break Glass“, das seinen Namen vom Zerbrechen des Glases zur Auslösung eines Feuermelders hat, bezieht sich auf ein Mittel, mit dem eine Person unter außergewöhnlichen Umständen schnell Administratorzugriff erhalten kann, indem ein zugelassenes und geprüftes Verfahren angewendet wird.
-
Wenn Sie über On-Premises-Rechenzentren oder mehrere vCenter-Server-Instances verfügen, verwenden Sie den Hybrid Linked Mode, um Ihre Cloud-vCenter-Server-Instance mit der On-Premises-vCenter-Single-Sign-On-Domain zu verbinden. Auf diese Weise können Sie Ihre Cloud- und On-Premises-Ressourcen über eine einzige vSphere-Client-Oberfläche verwalten.
-
Konfigurieren Sie nach Möglichkeit Verwaltungs-Endpunkte wie vCenter Server, HCX Cloud Manager und NSX Manager so, dass sie nur über interne Netzwerke und nicht über das öffentliche Internet zugänglich sind.
-
Verwenden Sie keine lokalen Anmeldeinformationen wie das cloudadmin-Konto für administrative Zwecke. Reservieren Sie sich diese Konten für Ihr Break-Glass-Verfahren. Aktionen, die mit lokalen Administratorkonten ausgeführt werden, können keiner bestimmten Person zugeordnet werden, sodass diese Konten verwendet werden könnten, um Änderungen vorzunehmen, ohne dafür verantwortlich zu sein.
-
Ändern Sie die Passwörter für lokale Konten wie Root- und Administratorkonten auf starke Werte und speichern Sie diese Anmeldeinformationen sicher in einem geprüften Passwortspeicher. Richten Sie ein Genehmigungsverfahren für die Gewährung des Zugriffs auf diese Passwörter ein.
-
Wenn lokale Anmeldeinformationen über einen längeren Zeitraum, z. B. mehrere Monate oder länger, bestehen bleiben, richten Sie ein Verfahren ein, bei dem die Anmeldeinformationen rotiert werden (z. B. wenn Sie VMware HCX verwenden, um ein Netzwerk zu erweitern).
Diese Empfehlungen gelten für alle VMware-Dienstkonfigurationen für VMware Cloud on AWS. Zusätzliche Empfehlungen für die einzelnen Services werden später in diesem Handbuch behandelt.