Administración de identidades y acceso a escala empresarial para Azure VMware Solution
Este artículo se basa en la información que se encuentra en Administración de identidades y acceso y Conceptos de identidad de Azure VMware Solution.
Use esta información para examinar las consideraciones de diseño y las recomendaciones para la administración de identidades y acceso específicas para la implementación de Azure VMware Solution.
Los requisitos de identidad para Azure VMware Solution varían según su implementación en Azure. La información proporcionada en este artículo se basa en los escenarios más comunes.
Consideraciones de diseño
Después de implementar Azure VMware Solution, vCenter del nuevo entorno contiene un usuario local integrado llamado cloudadmin. Este usuario tiene asignado el rol CloudAdmin con varios permisos en vCenter Server. También puede crear roles personalizados en el entorno de Azure VMware Solution con el principio de privilegios mínimo con control de acceso basado en rol (RBAC).
Recomendaciones de diseño
Como parte de la zona de aterrizaje de escala empresarial de administración de identidades y acceso, implemente el controlador de dominio de Active Directory Domain Services (AD DS) en la suscripción de identidad.
Limite el número de usuarios a los que asigne el rol CloudAdmin. Use roles personalizados y privilegios mínimos para asignar usuarios a Azure VMware Solution.
Tenga cuidado al rotar las contraseñas de administrador de NSX y cloudadmin.
Limite los permisos de control de acceso basado en roles (RBAC) de Azure VMware Solution en Azure al grupo de recursos donde se haya implementado, y a los usuarios que tengan que administrar Azure VMware Solution.
Configure los permisos de vSphere solo con roles personalizados en el nivel de jerarquía si es necesario. Es mejor aplicar permisos en la carpeta de VM apropiada o al grupo de recursos. Evite la aplicación de permisos de vSphere a nivel de centro de datos o por encima.
Actualice los sitios y servicios de Active Directory para dirigir el tráfico de AD DS para Azure y Azure VMware Solution a los controladores de dominio adecuados.
Use el comando Ejecutar en su nube privada para:
Agregue un controlador de dominio de AD DS como origen de identidad para vCenter Server y el centro de datos NSX-T.
Proporcionar la operación de ciclo de vida en el grupo
vsphere.local\CloudAdmins.
Cree grupos en Active Directory y use RBAC para administrar vCenter Server y el centro de datos NSX-T. Puede crear roles personalizados y asignar grupos de Active Directory a los roles personalizados.
Pasos siguientes
Obtenga información sobre la topología de red y la conectividad para un escenario de escala empresarial de Azure VMware Solution. Examine las consideraciones de diseño y los procedimientos recomendados sobre las redes y la conectividad con Microsoft Azure y Azure VMware Solution.