Azure VMware Solution のエンタープライズ規模での ID とアクセスの管理
この記事は、「ID とアクセスの管理」および「Azure VMware Solution の ID の概念」に記載されている情報に基づいています。
この情報を使用して、Azure VMware Solution のデプロイに固有の ID とアクセスの管理の設計上の考慮事項と推奨事項について確認します。
Azure VMware Solution の ID 要件は、Azure での実装によって異なります。 この記事に記載されている情報は、最も一般的なシナリオに基づいています。
設計上の考慮事項
Azure VMware Solution をデプロイした後、新しい環境の vCenter には、cloudadmin という名前の組み込みローカル ユーザーが含まれています。 このユーザーは、vCenter Server でいくつかのアクセス許可を持つ CloudAdmin ロールに割り当てられています。 また、最小限の特権の原則とロールベースのアクセス制御 (RBAC) を使用して、Azure VMware Solution 環境でカスタム ロールを作成することもできます。
設計の推奨事項
ID とアクセス管理のエンタープライズ規模ランディング ゾーンの一部として、ID サブスクリプションで Active Directory Domain Services (AD DS) ドメイン コントローラーをデプロイします。
CloudAdmin ロールを割り当てるユーザーの数を制限します。 カスタム ロールと最小特権を使用して、ユーザーを Azure VMware Solution に割り当てます。
cloudadmin と NSX 管理者パスワードをローテーションする場合は注意が必要です。
Azure での Azure VMware Solution のロールベースのアクセス制御 (RBAC) のアクセス許可は、それがデプロイされているリソース グループと、Azure VMware Solution を管理する必要があるユーザーに制限します。
必要に応じて、階層レベルでカスタム ロールを持つ vSphere アクセス許可のみを構成します。 適切な VM フォルダーまたはリソース プールでアクセス許可を適用することをお勧めします。 データセンター レベル以上では vSphere アクセス許可は適用しないでください。
Azure と Azure VMware Solution AD DS のトラフィックが適切なドメイン コントローラーに送られるように Active Directory サイトとサービスを更新します。
プライベートクラウドの [Run コマンド] を使用して、次のことを行います。
vCenter Server と NSX-T Data Center の ID ソースとして AD DS ドメイン コントローラーを追加します。
vsphere.local\CloudAdminsグループでライフサイクル操作を提供します。
Active Directory でグループを作成し、RBAC を使用して vCenter Server と NSX-T Data Center を管理します。 カスタム ロールを作成し、そのカスタム ロールに Active Directory グループを割り当てることができます。
次の手順
Azure VMware Solution のエンタープライズ規模シナリオのネットワーク トポロジと接続について学習します。 Microsoft Azure と Azure VMware Solution を使用したネットワークと接続に関する設計上の考慮事項とベスト プラクティスを確認します。