VMware vSphereセキュリティ権限に関する注意事項

さまざまなカテゴリのユーザーへのアクセスを仮想マシンに提供するには、原則として、VMビューとテンプレートビュー、およびフォルダーシステムが使用されます。実際には、それらに権利が割り当てられます。 ただし、一部のアクションでは、ユーザーがVMおよびテンプレート表示にない環境オブジェクトに対する権限を持っている必要があるため、これでは十分ではありません。 たとえば、仮想ハードディスクを追加したり、VMのクローンを作成したりするには、Datastore.Allocate Space権限またはDatastoreまたはDatastore ClusterオブジェクトのDatastore Consumerロールが必要です。 ネットワークインターフェイスを変更する可能性について-Network.Assign Network権限または対応するポートグループのネットワーク管理者ロール。 vSphereでのアクセス権の割り当てのこれとその他の微妙な点についてさらに詳しく説明します。 この情報は、vSphere 5.1および5.5に関連しています。



仮想化インフラストラクチャのオブジェクトのさまざまな表現が存在するため、一部のオブジェクト（VM、vApp）へのアクセス権は、複数の祖先（VMフォルダーやリソースプールなど）から継承できます。 心に留めておくべきこと。 継承の一般的なスキームを図に示します。







したがって、誰かの権利を制限する必要がある場合は、ある場所で取得した権利が別のオブジェクトから継承されないようにする必要があります。



さらに、実際には、ルートレベルで管理者特権を持っている人が、特定のフォルダーのレベルでユーザー権限によって制限されていることに突然気付く場合があります。 ポイントは、役割を課す状況での既存の権利の選択の特殊性です。 権限を付与するときは、留意する必要があります。



1） 子オブジェクトに付与された権利は継承され無視されます。 つまり、ユーザーがvSphereAdminsおよびCitrixAdminsグループのメンバーであり、最初のユーザーがルートレベルで管理者権限を持ち、2番目のユーザーがCitrixフォルダーレベルでVMユーザーを持っている場合、上記の段落で説明した状況になります。



2） 特定のユーザーに付与された権利は、グループに付与された権利よりも優先されます （両方が同じオブジェクトに発行され、ユーザーがグループのメンバーである場合）。



3）ADまたは組み込みのvCenter SSOディレクトリ以外の他のソースのユーザーが使用されている場合、vCenterは名前で検索してアカウントを定期的にチェックします 。 また、vCenterに権限を割り当てた後、アカウントの名前が変更または削除された場合、vCenterから対応する権限が削除されます。 また、リモートアカウンティングの場合、これがさらに良い場合、たとえば組織の新しい名前付けポリシーに従って誰かがグループの名前を変更した場合、悪影響が生じる可能性があります。



4） vCenter SSOは、メンバーがIDソースのメンバーでない場合、ネストされたグループの権限を継承しません 。 たとえば、ADドメインがIDソースに追加されていない場合、このドメインのDomain Adminsグループは、ローカル\ Administrators vCenterサーバーのメンバーであっても、vCenterに対する権限を持ちません。



アクセス権の付与に関するベストブリーダーのベストプラクティスからの推奨事項。

• 可能であれば、特定のユーザーではなく、グループに権利を割り当てます。 グループメンバーシップの制御を委任し、不必要な作業から自分を救うことができます。 また、委任しなくても、システムの管理は簡単になります。
• 必要な場合にのみ、必要な権限を最小限の権限で付与してください。 繰り返しますが、構造を理解するには、管理と適切な制御を簡素化します。 必要な力とそれを必要とする人々の計画を前もって策定する方がよい。
• フォルダを使用して、同様の権限セットを持つオブジェクトをグループ化します。 フォルダーは、VMおよびテンプレートだけでなく、すべてのビューで作成できます。
• ルートレベルでの権限の付与には注意してください。 つまり、vSphereクライアントのvCenterレベルです。 実際、このレベルの権限を持つユーザーは、仮想化インフラストラクチャのオブジェクトだけでなく、ライセンス、ロール、統計収集間隔、セッション、カスタムフィールドなどのエンティティの管理にもアクセスできます。 また、ロールを変更する機能は、ユーザーがまったく権限を持たないvCenterにも影響を与える可能性があります（リンクモードを使用する場合）。
• ほとんどの場合、継承を含める必要があります。 これにより、特定の階層に新しいオブジェクトを追加するときに、そのオブジェクトを担当するユーザーがそのオブジェクトにアクセスできるようになります。
• 階層の特定のゾーンをマスクするには、「アクセスなし」ロールを使用できます
• 再起動および更新後、vCenterは必要な権限を確認する必要があります。 実際、ある段階でネットワークの問題が発生し、vCenterが指定されたグループまたはユーザーを確認できない場合、それらは削除され、ローカル\管理者に置き換えられます。
• ローカル管理者グループとvCenterサーバー管理者ユーザーのvCenter権限を削除します。 専門グループに権利を付与します。

最後に、ESXiホストの専門ユーザーに言及します。 一部の地域のIT従業員がインフラストラクチャに抜け穴を作らないようにし、ESXiホストをvpxuserユーザーからほぼ一掃したことを同僚がかつて確認したという事実によって引き起こされました。



vpxuserは、ホストがvCenterに接続するときに作成され、管理のために使用される特殊なユーザーです。 したがって、ホストに対する管理者権限があり、どのような場合でもホストを近代化する必要はありません（権限またはパスワードを変更しないでください）。



dcuiユーザーは、ホストのロックダウンモードでダイレクトコンソールユーザーインターフェイスを介して作業するときにエージェントとして使用される別の特定のユーザーです（このモードでは、vCenterを使用した管理を除き、ホストへの接続はすべて禁止されます）。



結論として、vCenterオブジェクトに権利を割り当てるためのポリシーを開発するときのように、システムにアクセス権を割り当てるときのAGDLPアプローチの重要性と関連性をこれまであまり気づかなかったことに注意したいと思います。 上記の機能と多数の階層要素のブランチを考慮して。