翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VMware アイデンティティ管理サービス

VMware Cloud on を使用する場合 AWS、ID とアクセスを管理するための 2 つの主要なサービスとツールである VMware Cloud Services Consoleと がありますVMware vCenter Server。

VMware Cloud Services Console

VMware Cloud Services Console (VMware ドキュメント) は、VMware Cloud on を含む VMware Cloud Services ポートフォリオの管理に役立ちます AWS。このサービスでは次のことが行えます。

ID とアクセスの管理

VMware Cloud Services Console でユーザー、グループ、ロール、組織を適切に設定することにより、最小特権のアクセスポリシーを実装できます。

VMware Cloud Services Console へのアクセスを保護することは非常に重要です。このサービスの管理ユーザーは、VMware クラウドの環境全体でアクセス許可を変更したり、請求情報などの機密情報にアクセスしたりする可能性があるためです。すべてのコンソール機能 (請求やサポートなど) にアクセスするには、ユーザーを VMware Customer Connect プロファイル (正式名称は MyVMware) にリンクする必要があります。

VMware Cloud Services Console では、ユーザーとグループにアクセス許可を付与する際に次の種類のロールを使用します。

VMware Cloud Services Console は認証ポリシーをサポートしています。このポリシーでは、ユーザーはログイン時に 2 つ目の認証トークンを入力しなければならない、つまり多要素認証(MFA) が必須であると規定することが可能です。

このサービスにおける ID とアクセスの管理に関する詳細は、「Identity and Access Management」(VMware ドキュメント) を参照してください。

AWS レコメンデーション

AWS では、VMware Cloud on AWS向けに VMware Cloud Services Console を設定する際に 一般的なベストプラクティス に加えて以下のことを推奨しています。

VMware vCenter Server

VMware vCenter Server (VMware のウェブサイト) は、VMware vSphere 環境を管理するための管理プレーンです。vCenter Server では、仮想マシンなどの vSphere リソースにアクセスし、VMware HCX や VMware Live Site Recovery などのアドオンにアクセスできるエンティティを管理します。vCenter Server の管理は vSphere Client アプリケーションを使って行います。vCenter Server では次のことが行えます。

オンプレミスのデータセンターを使用している場合、Hybrid Linked Mode を使用して、クラウドの vCenter Server インスタンスをオンプレミスの vCenter Single Sign-On ドメインに接続できます。vCenter Single Sign-On ドメインに、Enhanced Linked Mode を使用して接続された vCenter Server インスタンスが複数含まれている場合は、それらのインスタンスはすべてクラウドの SDDC にリンクされます。このモードを使用すると、オンプレミスとクラウドのデータセンターを単一の vSphere Client インターフェイスで表示、管理でき、オンプレミスのデータセンターとクラウドの SDDC の間でワークロードを移行することができます。詳細については、「Configuring Hybrid Linked Mode」(VMware ドキュメント) を参照してください。

ID とアクセスの管理

VMware Cloud on のソフトウェア定義データセンター (SDDCs) (VMware ウェブサイト) では AWS、vCenter Server の運用方法はオンプレミス SDDC と似ています。主な違いは、VMware Cloud on AWS がマネージドサービスであることです。そのため、ホスト、クラスター、仮想マシンの管理など、特定の管理タスクはVMware が担います。詳細については、「What's Different in the Cloud?」および「Global permissions」(VMware ドキュメント) を参照してください。

VMware が SDDC の一部の管理タスクを実行するため、クラウドの管理者に必要な権限は、オンプレミスデータセンターの管理者の権限よりも少なくて済みます。VMware Cloud on AWS SDDC を作成すると、cloudadmin ユーザーが自動的に作成され、CloudAdmin ロールが割り当てられます (VMware ドキュメント）。特権付与されたこのローカルユーザーアカウントを使用することで、vCenter Server と vCenter Single Sign-On にアクセスできます。VMware Cloud VMware Services Console で VMware Cloud on AWS Administrator または Administrator (Delete Restricted) サービスロールを持つユーザーは、cloudadmin ユーザーの認証情報を取得できます。CloudAdmin ロールには、VMware Cloud on AWS SDDC の vCenter Server で可能な最大のアクセス許可があります。このサービスロールの詳細については、「CloudAdmin Privileges 」(VMware のドキュメント) を参照してください。cloudadmin ユーザーは、VMware Cloud on AWSの vCenter Server で使用できる唯一のローカルユーザーです。他のユーザーにアクセス権限を付与するときは外部の ID ソースを使用します。

vCenter Single Sign-On は、セキュリティトークンの交換インフラストラクチャを提供する認証ブローカーです。ユーザーが vCenter Single Sign-On の認証を受けると、そのユーザーは、API 呼び出しを使用して vCenter Server やその他のアドオンサービスの認証に使用できるトークンを受け取ります。cloudadmin ユーザーは、vCenter Server の外部 ID ソースを設定することができます。詳細については、「Identity Sources for vCenter Server with vCenter Single Sign-On」(VMware ドキュメント) を参照してください。

vCenter Server では、ユーザーとグループにアクセス許可を付与する際に次の 3 つのタイプのロールを使用します。

SDDC インベントリ内の各オブジェクトでユーザーまたはグループに割り当てることのできるロールは 1 つのみです。1 つのオブジェクトで、ユーザーまたはグループが、組み込みのロールの組み合わせを必要とする場合、2 つの選択肢があります。1 つ目の方法は、必要なアクセス許可を持つカスタムロールを作成することです。もう 1 つの方法は、2 つのグループを作成し、それぞれに組み込みのロールを割り当て、両方のグループにユーザーを追加することです。

AWS レコメンデーション

AWS では、VMware Cloud on AWS向けに vCenter Server を設定する際に 一般的なベストプラクティス に加えて以下のことを推奨しています。