Azure VMware Solution の ID の概念

Azure VMware Solution のプライベート クラウドは、vCenter Server と NSX-T Manager を使用してプロビジョニングされます。 vCenter Server を使用して仮想マシン (VM) ワークロードを管理し、NSX-T Manager を使用してプライベート クラウドを管理および拡張します。 vCenter Server には CloudAdmin ロールが使用され、NSX-T Manager には (アクセス許可が制限された) CloudAdmin ロールが使用されます。

vCenter Server のアクセスと ID

Azure VMware Solution では、vCenter Server に cloudadmin という組み込みのローカル ユーザーがあり、CloudAdmin ロールに割り当てられています。 プライベート クラウドの CloudAdmin ロールを使用して Active Directory Domain Services (AD) のユーザーとグループを構成できます。 通常、プライベート クラウドのワークロードは、CloudAdmin ロールによって作成と管理が行われます。 しかし Azure VMware Solution では、CloudAdmin ロールに、他の VMware クラウド ソリューションやオンプレミスのデプロイとは異なる vCenter Server 特権があります。

重要

ローカルの cloudadmin ユーザーは、プライベート クラウドの「中断グラス」シナリオの緊急アクセス アカウントとして扱う必要があります。 日常の管理アクティビティや他のサービスとの統合には適していません。

  • vCenter Server と ESXi のオンプレミスのデプロイでは、管理者は vCenter Server の administrator@vsphere.local アカウントと ESXi ルート アカウントにアクセスできます。 さらに多くの AD ユーザーとグループを割り当てることもできます。

  • Azure VMware Solution のデプロイでは、管理者が管理者ユーザー アカウントまたは ESXi ルート アカウントにアクセスすることはできません。 ただし、AD ユーザーとグループを vCenter Server の CloudAdmin ロールに割り当てることができます。 CloudAdmin ロールには、オンプレミスの LDAP や LDAPS サーバーなどの ID ソースを vCenter Server に追加するためのアクセス許可がありません。 ただし、実行コマンドを使用して ID ソースを追加し、cloudadmin ロールをユーザーとグループに割り当てることができます。

プライベート クラウド ユーザーは、Microsoft がサポートと管理を行う特定の管理コンポーネントにはアクセスできず、それらを構成することもできません。 (クラスター、ホスト、データストア、分散仮想スイッチなど)。

Note

Azure VMware Solution では、プラットフォーム操作をサポートするために、 vsphere.local SSO ドメインが管理対象リソースとして提供されます。 ローカル グループと、プライベート クラウドで既定で提供されるユーザー以外のユーザーの作成と管理はサポートされていません。

重要

Azure VMware Solution では、vCenter Server でカスタム ロールが提供されていますが、現在、Azure VMware Solution ポータルでは提供されていません。 詳細については、この記事の後半の「vCenter Server でカスタム ロールを作成する」セクションを参照してください。

vCenter Server の特権を確認する

次の手順を使用して、Azure VMware Solutionプライベート クラウド vCenter の Azure VMware Solution CloudAdmin ロールに付与された特権を表示します。

  1. vSphere Client にサインインし、 [Menu](メニュー)>[Administration](管理) の順に移動します。

  2. [Access Control](アクセス制御) で、 [Roles](ロール) を選択します。

  3. ロールの一覧から [CloudAdmin] を選択し、 [Privileges](特権) を選択します。

    vSphere Client のスクリーンショット。CloudAdmin のロールと特権が表示されています。

Azure VMware Solution の CloudAdmin ロールには、vCenter Server に対する次の特権があります。 詳細については、VMware 製品のドキュメントを参照してください。

特権 説明
アラーム アラートの確認
アラームの作成
アラーム アクションの無効化
アラームの変更
アラームの削除
アラームの状態の設定
コンテンツ ライブラリ ライブラリ項目の追加
信頼ストアへのルート証明書の追加
テンプレートのチェックイン
テンプレートのチェックアウト
発行されたライブラリのサブスクリプションの作成
ローカル ライブラリの作成
Harbor レジストリの作成または削除
サブスクライブ済みライブラリの作成
Harbor レジストリ プロジェクトの作成、削除、または消去
ライブラリ項目の削除
ローカル ライブラリの削除
信頼ストアからのルート証明書の削除
サブスクライブ済みライブラリの削除
発行されたライブラリのサブスクリプションの削除
ファイルのダウンロード
ライブラリ項目の強制削除
サブスクライブ済みライブラリの強制削除
ストレージのインポート
指定したコンピューティング リソースでの Harbor レジストリ リソースの管理
サブスクリプション情報のプローブ
ライブラリ項目のサブスクライバーへの発行
ライブラリのサブスクライバーへの発行
ストレージの読み取り
ライブラリ項目の同期
サブスクライブ済みライブラリの同期
イントロスペクションの入力
構成設定の更新
ファイルの更新
ライブラリの更新
ライブラリ項目の更新
ローカル ライブラリの更新
サブスクライブ済みライブラリの更新
発行されたライブラリのサブスクリプションの更新
構成設定の表示
暗号化操作 直接アクセス
データストア 領域の割り当て
データストアを参照する
データストアの構成
低レベルのファイル操作
ファイルの削除
仮想マシン メタデータの更新
フォルダー フォルダーの作成
フォルダーの削除
フォルダーの移動
フォルダー名の変更
グローバル タスクの取り消し
グローバル タグ
Health
イベントのログ記録
カスタム属性の管理
サービス マネージャー
カスタム属性の設定
システム タグ
Host vSphere レプリケーション
    レプリケーションの管理
Network ネットワークの割り当て
アクセス許可 アクセス許可の変更
ロールの変更
プロファイル駆動型ストレージ プロファイル駆動型ストレージ ビュー
リソース Apply recommendation
リソース プールへの vApp の割り当て
リソース プールへの仮想マシンの割り当て
リソース プールの作成
電源がオフの仮想マシンの移行
電源がオンの仮想マシンの移行
リソース プールの変更
リソース プールの移動
vMotion のクエリ
リソース プールの削除
リソース プールの名前変更
スケジュールされたタスク タスクを作成する
タスクの変更
タスクの削除
タスクの実行
セッション Message
セッションの検証
ストレージ ビュー 表示
vApp 仮想マシンの追加
リソース プールの割り当て
vApp の割り当て
複製
作成
削除
エクスポート
[インポート]
詳細ビュー
電源オフ
電源投入
[名前の変更]
[中断]
Unregister
OVF 環境の表示
vApp アプリケーション構成
vApp インスタンス構成
vApp managedBy 構成
vApp リソース構成
仮想マシン 構成の変更
    ディスク リースの取得
    既存のディスクの追加
    新しいディスクの追加
    デバイスの追加または削除
    詳細な構成
    CPU 数の変更
    メモリの変更
    設定を変更する
    スワップファイル配置の変更
    リソースの変更
    ホスト USB デバイスの構成
    raw デバイスの構成
    managedBy の構成
    接続設定の表示
    仮想ディスクの拡張
    デバイスの設定の変更
    フォールト トレランス互換性のクエリ
    所有者のないファイルのクエリ
    パスからの再読み込み
    ディスクの削除
    名前の変更
    ゲスト情報のリセット
    注釈の設定
    ディスク変更追跡の切り替え
    フォークの親の切り替え
    仮想マシン互換性の更新
インベントリの編集
    既存からの作成
    新規作成
    詳細ビュー
    登録
    [削除]
    Unregister
ゲスト操作
    ゲスト操作エイリアスの変更
    ゲスト操作エイリアスのクエリ
    ゲスト操作の変更
    ゲスト操作プログラム実行
    ゲスト操作クエリ
相互作用
    質問に答える
    仮想マシンに対するバックアップ操作
    CD メディアの構成
    フロッピー メディアの構成
    デバイスの接続
    コンソール対話
    スクリーンショットの作成
    すべてのディスクのデフラグ
    ドラッグ アンド ドロップ
    VIX API によるゲスト オペレーティング システム管理
    USB HID スキャン コードの挿入
    VMware ツールのインストール
    一時停止または一時停止解除
    ワイプまたは縮小の操作
    電源オフ
    電源投入
    仮想マシン上のセッションの記録
    仮想マシン上のセッションの再生
    Reset
    フォールト トレランスの再開
    [中断]
    フォールト トレランスの一時停止
    [テスト フェールオーバー]
    セカンダリ VM の再起動のテスト
    フォールト トレランスの無効化
    フォールト トレランスの有効化
プロビジョニング
    ディスク アクセスの許可
    ファイル アクセスの許可
    読み取り専用ディスク アクセスの許可
    仮想マシンのダウンロードの許可
    テンプレートの複製
    仮想マシンの複製
    仮想マシンからテンプレートを作成
    ゲストのカスタマイズ
    テンプレートのデプロイ
    テンプレートとしてマーク
    カスタマイズ仕様の変更
    ディスクの昇格
    カスタマイズ仕様の読み取り
サービス構成
    通知の許可
    グローバル イベント通知のポーリングの許可
    サービスの構成の更新
    サービス構成の変更
    サービス構成のクエリ
    サービス構成の読み取り
スナップショットの管理
    スナップショットの作成
    スナップショットの削除
    スナップショットの名前変更
    スナップショットを元に戻す
vSphere レプリケーション
    レプリケーションの設定
    レプリケーションの管理
    レプリケーションを監視します
vService 依存関係の作成
依存関係の破棄
依存関係の再構成
依存関係の更新
vSphere のタグ付け vSphere タグの割り当てと割り当て解除
vSphere タグの作成
vSphere タグ カテゴリの作成
vSphere タグの削除
vSphere タグ カテゴリの削除
vSphere タグの編集
vSphere タグ カテゴリの編集
カテゴリの UsedBy フィールドの変更
タグの UsedBy フィールドの変更

vCenter Server でカスタム ロールを作成する

Azure VMware Solution では、CloudAdmin ロール以下の権限を持つカスタム ロールの使用がサポートされています。 CloudAdmin ロールを使用して、現在のロール以下の特権を持つカスタム ロールを作成、変更、削除します。

Note

CloudAdmin よりも大きい特権を持つロールを作成できます。 ただし、ユーザーまたはグループにロールを割り当てたり、ロールを削除したりすることはできません。 CloudAdmin よりも高い権限を持つロールはサポートされていません。

割り当てと削除ができないロールの作成を防止するために、新しいカスタム ロールを作成するための基礎として CloudAdmin ロールを複製します。

カスタム ロールを作成する

  1. cloudadmin@vsphere.local で、または CloudAdmin ロールを持つユーザーで vCenter Server にサインインします。

  2. [ロール] 構成セクションに移動し、 [メニュー]>[管理]>[アクセス コントロール]>[ロール] の順に移動します。

  3. CloudAdmin ロールを選択し、 [ロールのクローン作成アクション] アイコンを選択します。

    Note

    管理者ロールは使用できないため、複製しないでください。 また、作成されたカスタム ロールを cloudadmin@vsphere.local で削除することはできません。

  4. 複製するロールの名前を指定します。

  5. ロールの権限を削除し、[OK] を選択します。 複製されたロールは [ロール] 一覧に表示されます。

カスタム ロールを適用する

  1. 追加したアクセス許可を必要とするオブジェクトに移動します。 たとえば、フォルダーにアクセス許可を適用するには、 [メニュー]>[仮想マシンおよびテンプレート]>[フォルダー名] の順に移動します。

  2. オブジェクトを右クリックし、 [アクセス許可の追加] を選択します。

  3. グループまたはユーザーを検索できる [ユーザー] ドロップダウンで ID ソースを選択します。

  4. [ユーザー] セクションで ID ソースを選択したら、ユーザーまたはグループを検索します。

  5. そのユーザーまたはグループに適用するロールを選択します。

    Note

    ユーザーまたはグループを、CloudAdmin よりも高い権限を持つロールに適用しようとすると、エラーが発生します。

  6. 必要に応じて [子へ伝達] をオンにし、 [OK] を選択します。 追加されたアクセス許可は、 [権限] セクションに表示されます。

VMware NSX-T Data Center NSX-T Manager のアクセスと ID

Azure portal を使ってプライベート クラウドをプロビジョニングすると、vCenter Server や VMware NSX-T Data Center NSX-T Manager などの Software Defined Data Center (SDDC) 管理コンポーネントが、顧客向けにプロビジョニングされます。

Microsoft は、VMware NSX-T Data Center NSX-T Manager や VMware NSX-T Data Center Microsoft Edge アプライアンスなどの NSX-T アプライアンスのライフサイクル管理の責任を負います。 Tier-0 ゲートウェイの作成など、ネットワーク構成をブートストラップする役割を担います。

ユーザーは、VMware NSX-T Data Center のソフトウェアによるネットワーク (SDN) の構成を担当します。次に例を示します。

  • ネットワーク セグメント
  • その他の Tier-1 ゲートウェイ
  • 分散ファイアウォール規則
  • ゲートウェイ ファイアウォールなどのステートフル サービス
  • Tier-1 ゲートウェイのロード バランサー

ユーザーは、NSX-T Data Center を管理するための制限された特権をユーザーに付与するカスタム ロールに割り当てられた組み込みローカル ユーザー "cloudadmin" を使って、VMware NSX-T Data Center NSX-T Manager にアクセスできます。 Microsoft は VMware NSX-T Data Center のライフサイクルを管理しますが、特定の操作はユーザーによって許可されません。 許可されない操作には、ホストおよびエッジ トランスポート ノードの構成の編集やアップグレードの開始が含まれます。 新しいユーザーの場合、Azure VMware Solution は、そのユーザーに必要な特定のアクセス許可セットをデプロイします。 この目的は、Azure VMware Solution コントロール プレーンの構成と Azure VMware Solution プライベート クラウド ユーザーの間で制御を明確に分離することです。

新しいプライベート クラウド デプロイでは、VMware NSX-T Data Center のアクセス権が、ワークロード用の VMware NSX-T Data Center の機能を使用するための特定のアクセス許可セットを持つ cloudadmin ロールに割り当てられている組み込みのローカル ユーザー cloudadmin に付与されます。

VMware NSX-T Data Center の cloudadmin ユーザーのアクセス許可

Azure VMware Solution NSX-T Data Center の cloudadmin ユーザーには、次のアクセス許可が割り当てられます。

注意

Azure VMware Solution の VMware NSX-T Data Center cloudadmin ユーザーは、VMware 製品のドキュメントで説明されている cloudadmin ユーザーと同じではありません。 以下のアクセス許可は、NSX-T データ センターのポリシー API に適用されます。 Manager API の機能が制限される場合があります。

カテゴリ Type 操作 アクセス許可
ネットワーキング 接続 Tier-0 ゲートウェイ
Tier-1 ゲートウェイ
セグメント
読み取り専用
フル アクセス
フル アクセス
ネットワーキング ネットワーク サービス VPN
NAT
負荷分散
転送ポリシー
統計
フル アクセス
フル アクセス
フル アクセス
読み取り専用
フル アクセス
ネットワーキング IP 管理 DNS
DHCP
IP アドレス プール
フル アクセス
フル アクセス
フル アクセス
ネットワーキング Profiles フル アクセス
セキュリティ 東西のセキュリティ 分散ファイアウォール
分散 IDS と IPS
ID ファイアウォール
フル アクセス
フル アクセス
フル アクセス
セキュリティ 南北のセキュリティ ゲートウェイ ファイアウォール
URL 分析
フル アクセス
フル アクセス
セキュリティ ネットワーク イントロスペクション 読み取り専用
セキュリティ Endpoint Protection 読み取り専用
セキュリティ 設定 フル アクセス
インベントリ フル アクセス
トラブルシューティング IPFIX フル アクセス
トラブルシューティング ポート ミラーリング フル アクセス
トラブルシューティング Traceflow フル アクセス
システム 構成
設定
設定
設定
ID ファイアウォール
ユーザーとロール
証明書の管理 (サービス証明書のみ)
ユーザー インターフェイス設定
フル アクセス
フル アクセス
フル アクセス
フル アクセス
システム 他のすべての 読み取り専用

Azure VMware Solution プライベート クラウドの VMware NSX-T Data Center で、Azure VMware Solution の cloudadmin ロールに付与されているアクセス許可を確認できます。

  1. NSX-T マネージャーにログインします。
  2. [システム] に移動し、[ユーザーとロール] を見つけます。
  3. [ロール] の下にある [cloudadmin] ロールを選択して展開します。
  4. [ネットワーク]、[セキュリティ] などのカテゴリを選択すると、特定のアクセス許可が表示されます。

注意

2022 年 6 月より前に作成されたプライベート クラウドでは、admin ロールから cloudadmin ロールに切り替わります。 Azure Service Health を通じて、この変更のタイムラインを含む通知を受け取るため、他の統合に使用した NSX-T Data Center 資格情報を変更できます。

ロールベースのアクセス制御 (RBAC) のための NSX-T Data Center LDAP 統合

Azure VMware Solution のデプロイでは、VMware NSX-T Data Center を外部の LDAP ディレクトリ サービスと統合して、リモート ディレクトリ ユーザーやグループを追加し、オンプレミスのデプロイのように、それらに VMware NSX-T Data Center の RBAC ロールを割り当てることができます。 VMware NSX-T Data Center の LDAP 統合を有効にする方法について詳しくは、VMware 製品のドキュメントをご覧ください。

オンプレミス デプロイとは異なり、テナント ネットワークとセキュリティの構成とは別に Azure VMware Solution IaaS コントロール プレーンの構成管理を維持するために、定義済みの NSX-T Data Center RBAC ロールがすべてサポートされるわけではありません。 詳しくは、サポートされる NSX-T Data Center RBAC ロールに関する次のセクションをご覧ください。

Note

VMware NSX-T Data Center の LDAP 統合は、VMware NSX-T Data Center の "cloudadmin" ユーザーを使用した SDDC でのみサポートされます。

NSX-T Data Center のサポートされる RBAC ロールとサポートされない RBAC ロール

Azure VMware Solution のデプロイでは、VMware NSX-T Data Center の次の定義済み RBAC ロールが、LDAP 統合でサポートされます。

  • 監査人
  • Cloudadmin
  • LB 管理者
  • LB オペレーター
  • VPN 管理者
  • ネットワーク オペレーター

Azure VMware Solution のデプロイでは、VMware NSX-T Data Center の次の定義済み RBAC ロールは、LDAP 統合でサポートされません。

  • エンタープライズ管理者
  • ネットワーク管理者
  • セキュリティ管理者
  • NetX パートナー管理者
  • GI パートナー管理者

Microsoft が作成した CloudAdmin ロールと同等か、またはそれよりも少ないアクセス許可を持つカスタム ロールを NSX-T Data Center で作成できます。 サポートされる "ネットワーク管理者" ロールと "セキュリティ管理者" ロールを作成する方法の例を次に示します。

注意

CloudAdmin ロールで許可されていないアクセス許可を割り当てた場合、カスタム ロールの作成は失敗します。

"AVS ネットワーク管理者" ロールを作成する

このカスタム ロールを作成するには、次の手順を使用します。

  1. [システム]>[ユーザーとロール]>[ロール] に移動します。

  2. ネットワーク管理者を複製し、AVS ネットワーク管理者という名前を付けます。

  3. 次のアクセス許可を、次の表の [アクセス許可] 列に示されている "読み取り専用" または "なし" に変更します。

    カテゴリ サブカテゴリ 機能 アクセス許可
    ネットワーキング


    接続

    ネットワーク サービス
    Tier-0 ゲートウェイ
    Tier-0 ゲートウェイ > OSPF
    転送ポリシー
    読み取り専用
    なし
    なし
  4. 変更を適用し、ロールを保存します。

"AVS セキュリティ管理者" ロールを作成する

このカスタム ロールを作成するには、次の手順を使用します。

  1. [システム]>[ユーザーとロール]>[ロール] に移動します。

  2. セキュリティ管理者を複製し、"AVS セキュリティ管理者" という名前を付けます。

  3. 次のアクセス許可を、次の表の [アクセス許可] 列に示されている "読み取り専用" または "なし" に変更します。

カテゴリ サブカテゴリ 機能 アクセス許可
ネットワーキング ネットワーク サービス 転送ポリシー なし
セキュリティ


ネットワーク イントロスペクション
Endpoint Protection
設定


サービス プロファイル
なし
なし
なし
  1. 変更を適用し、ロールを保存します。

注意

VMware NSX-T Data Center System>Identity Firewall AD 構成オプションは、NSX-T Data Center カスタム ロールではサポートされていません。 推奨されるのは、カスタム ロールと共にセキュリティ オペレーター ロールをユーザーに割り当てて、そのユーザーに対して ID ファイアウォール (IDFW) 機能の管理を許可することです。

注意

VMware NSX-T Data Center の Traceflow 機能は、VMware NSX-T Data Center のカスタム ロールではサポートされません。 推奨されるのは、上記のカスタム ロールと共に監査人ロールをユーザーに割り当てて、そのユーザーに対して Traceflow 機能を有効にすることです。

Note

VMware vRealize Automation (vRA) と Azure VMware Solution の NSX-T Data Center コンポーネントの統合には、NSX-T Manager cloudadmin ロールを持つユーザーに "監査者" ロールを追加する必要があります。

次のステップ

Azure VMware Solution のアクセスと ID に関する概念を理解したら、次の事項の学習に進むことができます。