VMware ID 管理サービス - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VMware ID 管理サービス

注意

2024 年 4 月 30 日以降、 の VMware Cloud AWS は AWS またはそのチャネルパートナーによって再販されなくなります。このサービスは、引き続き Broadcom を通じて利用できます。詳細については、 の AWS 担当者にお問い合わせください。

VMware Cloud on を使用する場合 AWS、ID とアクセスを管理するための 2 つの主要なサービスとツール、 VMware クラウドサービスコンソールと がありますVMware vCenter サーバー

VMware クラウドサービスコンソール

VMware クラウドサービスコンソール (VMware ドキュメント) は、VMwareCloud on を含むVMwareクラウドサービスポートフォリオの管理に役立ちます AWS。このサービスでは次のことが行えます。

  • ユーザーやグループなどのエンティティの管理

  • Live Cyber Recovery や VMware Aria Suite VMware などの他のクラウドサービスへのアクセスを制御する組織を管理する

  • リソースやサービスへのロールの割り当て

  • 組織にアクセスできるOAuthアプリケーションを表示する

  • 組織のエンタープライズフェデレーションの設定

  • Aria や VMware Cloud on VMware などのVMwareクラウドサービスの有効化とデプロイ AWS

  • 請求とサブスクリプションの管理

  • VMware サポートを受ける

ID とアクセスの管理

VMware Cloud Services Console でユーザー、グループ、ロール、組織を適切に設定することで、最小特権のアクセスポリシーを実装できます。

このサービスの管理者ユーザーはVMwareクラウド環境全体のアクセス許可を変更し、請求情報などの機密情報にアクセスできるため、VMwareクラウドサービスコンソールへのアクセスを保護することが重要です。請求やサポートなど、すべてのコンソール機能にアクセスするには、ユーザーを VMware Customer Connect プロファイル (旧称 MyVMware ) にリンクする必要があります。

VMware クラウドサービスコンソールでは、次のタイプのロールを使用して、ユーザーとグループに許可を付与します。

  • 組織ロール – これらのロールは VMware クラウド組織に直接関係し、VMwareクラウドサービスコンソール内のアクセス許可を付与します。基本のロールは次の 2 つです。組織オーナーロールは、組織を管理するためのアクセス許可をすべて持っています。Organization メンバーロールには、VMwareクラウドサービスコンソールへの読み取りアクセス権があります。詳細については、VMware「 クラウドサービスで利用できる組織ロール」( ドキュメント) を参照してください。VMware

  • サービスロール — 特定のサービスを使用するための、アクセス許可の割り当てを許可するロールです。例えば、DR 管理サービスロールを持つエンティティは、専用サービスコンソールでVMwareライブサイバーリカバリを管理できます。組織内で利用可能なサービスはすべて、1 つ以上のサービスロールが関連付けられています。利用可能なサービスロールの詳細については、対象のサービスのVMwareドキュメントを参照してください。

VMware クラウドサービスコンソールは認証ポリシーをサポートしています。これらは、ログイン時にユーザーが 2 番目の認証トークンを提供する必要があることを規定できます。これは多要素認証 () とも呼ばれますMFA。

このサービスでの ID とアクセスの管理の詳細については、「Identity and Access Management」(VMware ドキュメント) を参照してください。

AWS レコメンデーション

一般的なベストプラクティスでは、 上の VMware クラウドのVMwareクラウドサービスコンソールを設定する際に、 に加えて以下のことを AWS 推奨しています AWS。

  • 組織を作成するときは、VMwareCustomer Connect プロファイルと、vmwarecloudroot@example.com など、個人に属さない関連する会社の E メールアドレスを使用します。このアカウントはサービスあるいはルートアカウントとして取り扱います。また、使用状況を監査し、このメールアカウントへのアクセスは制限する必要があります。会社の ID プロバイダー (IdP) とのアカウントフェデレーションをすぐに設定し、ユーザーがこのアカウントを使用しなくても組織にアクセスできるようにします。このアカウントは、フェデレーション IdP で発生した問題に対処する、Break Glass の手順で使用するために確保しておきます。

  • 組織のフェデレーティッド ID を使用して、VMwareライブサイバーリカバリなどの他のクラウドサービスへのアクセスを許可します。複数のサービスで使用しているユーザーやフェデレーションは、個別には管理しません。これにより、ユーザーの入社時あるいは退職時などに、複数のサービスへのアクセス管理が容易になります。

  • 組織オーナーのロールは、むやみに割り当てないようにします。このロールを持つエンティティは、組織のあらゆる側面や関連するクラウドサービスへのフルアクセスを自らに付与できます。

VMware vCenter サーバー

VMware vCenter Server (VMware ウェブサイト) は、VMware vSphere 環境を管理するための管理プレーンです。 vCenter Server では、仮想マシンなどの vSphere リソースにアクセスしたり、 や VMware HCX VMware Live Site Recovery などのアドオンにアクセスしたりできるエンティティを管理します。vSphere クライアントアプリケーションを使用して vCenter サーバーを管理します。 vCenter Server では、次のことができます。

  • 仮想マシン、VMwareESXiホスト、v VMware SANストレージの管理

  • vCenter Single Sign-On の設定と管理

オンプレミスのデータセンターがある場合は、Hybrid Linked Mode を使用して、クラウド vCenter サーバーインスタンスをオンプレミスの vCenter Single Sign-On ドメインにリンクできます。 vCenter Single Sign-On ドメインに拡張リンクモードを使用して接続されている複数の vCenter サーバーインスタンスが含まれている場合、それらのインスタンスはすべてクラウド にリンクされますSDDC。このモードを使用すると、単一の vSphere クライアントインターフェイスからオンプレミスとクラウドのデータセンターを表示および管理し、オンプレミスのデータセンターとクラウド の間でワークロードを移行できますSDDC。詳細については、「ハイブリッドリンクモードの設定」(VMware ドキュメント) を参照してください。

ID とアクセスの管理

VMware Cloud on のソフトウェア定義データセンター (SDDCs) (VMware ウェブサイト) では AWS、 vCenter サーバーを運用する方法はオンプレミスの と似ていますSDDC。主な違いは、VMwareCloud on AWS がマネージドサービスであることです。したがって、 VMwareはホスト、クラスター、仮想マシンの管理など、特定の管理タスクを担当します。詳細については、「 クラウドの違い」および「 グローバルアクセス許可」(VMware ドキュメント) を参照してください。

VMware は のいくつかの管理タスクを実行するためSDDC、クラウド管理者は、オンプレミスデータセンターの管理者よりも必要な権限が少なくなります。で VMware Cloud を作成すると AWS SDDC、cloudadmin ユーザーが自動的に作成され、CloudAdminロールが割り当てられます (VMware ドキュメント)。この権限のあるローカルユーザーアカウントを使用して、 vCenter サーバーと vCenter Single Sign-On にアクセスできます。Cloud Services Console で VMware Cloud on AWS Administrator または Administrator (Delete Restricted) VMware サービスロールを持つユーザーは、cloudadmin ユーザーの認証情報を取得できます。CloudAdmin ロールには、 上の VMware クラウドの vCenter サーバーで可能な最大アクセス許可があります AWS SDDC。このサービスロールの詳細については、CloudAdmin 「権限」(VMware ドキュメント) を参照してください。Cloudadmin ユーザーは、 の VMware Cloud の vCenter Server で使用できる唯一のローカルユーザーです AWS。他のユーザーにアクセス権限を付与するときは外部の ID ソースを使用します。

vCenter Single Sign-On は、セキュリティトークン交換インフラストラクチャを提供する認証ブローカーです。ユーザーが vCenter Single Sign-On を認証すると、そのユーザーは、 API呼び出しを使用して vCenter サーバーおよびその他のアドオンサービスで認証するために使用できるトークンを受け取ります。cloudadmin ユーザーは、 vCenter サーバーの外部 ID ソースを設定できます。詳細については、 vCenter 「 Single Sign-On を使用する vCenter サーバーの Identity Sources」(VMware ドキュメント) を参照してください。

vCenter Server では、次の 3 種類のロールを使用して、ユーザーとグループにアクセス許可を付与します。

  • システムロール — このロールは編集や削除は行えません。

  • サンプルロール — このロールは、頻繁に実行されるタスクの組み合わせとして機能します。こちらのロールはコピー、編集、削除が可能です。

  • カスタムロール – システムロールとサンプルロールが必要なアクセスコントロールを提供しない場合は、vSphereクライアントでカスタムロールを作成できます。既存のロールを複製して変更することもできれば、新たにロールを作成することもできます。詳細については、 vCenter 「サーバーカスタムロールの作成」(VMware ドキュメント) を参照してください。

SDDC インベントリ内のオブジェクトごとに、ユーザーまたはグループに割り当てることができるロールは 1 つだけです。1 つのオブジェクトで、ユーザーまたはグループが、組み込みのロールの組み合わせを必要とする場合、2 つの選択肢があります。1 つ目の方法は、必要なアクセス許可を持つカスタムロールを作成することです。もう 1 つの方法は、2 つのグループを作成し、それぞれに組み込みのロールを割り当て、両方のグループにユーザーを追加することです。

AWS レコメンデーション

では一般的なベストプラクティス、 での VMware クラウド用 vCenter サーバーを設定する際に、 に加えて以下のことを AWS 推奨しています AWS。

  • cloudadmin ユーザーアカウントを使用して、 Single Sign-On vCenter で外部 ID ソースを設定します。外部 ID ソースから、管理目的で使用するための適切なユーザーを割り当てて、cloudadmin ユーザーの使用は中止します。 vCenter Single Sign-On を設定する際のベストプラクティスについては、「Information Security and Access for vCenter Server」(VMware ドキュメント) を参照してください。

  • Client で vSphere 、各 vCenter Server インスタンスの cloudadmin 認証情報を新しい値に更新し、安全に保存します。この変更は、 VMware クラウドサービスコンソールには反映されません。例えば、Cloud Services Console で認証情報を表示すると更新前の値が表示されます。

    注記

    このアカウントの認証情報が失われた場合、VMwareサポートによって認証情報がリセットされます。

  • アクセスに cloudadmin アカウント day-to-dayを使用しないでください。このアカウントは、Break Glass 手順の一環として使用できるように確保しておきます。

  • vCenter サーバーへのネットワークアクセスをプライベートネットワークのみに制限します。