Conceptos de identidad en Azure VMware Solution
Las nubes privadas de Azure VMware Solution se aprovisionan con vCenter Server y NSX-T Manager. Use vCenter para administrar cargas de trabajo de máquinas virtuales (VM) y NSX-T Manager para administrar y ampliar la nube privada. El rol CloudAdmin se usa para vCenter Server y el rol de administrador (con permisos restringidos) se usa para NSX-T Manager.
Acceso e identidad de vCenter Server
En Azure VMware Solution, vCenter Server tiene un usuario local integrado llamado cloudadmin que tiene asignado el rol CloudAdmin. Puede configurar usuarios y grupos en Active Directory (AD) con el rol CloudAdmin en la nube privada. En general, el rol CloudAdmin crea y administra las cargas de trabajo en la nube privada. En cambio, en Azure VMware Solution, el rol CloudAdmin tiene privilegios de vCenter Server que son distintos a los de otras soluciones de nube e implementaciones locales de VMware.
Importante
El usuario local cloudadmin debe tratarse como una cuenta de acceso de emergencia para escenarios de urgencia en la nube privada. No es para actividades administrativas diarias ni para la integración con otros servicios.
En una implementación local de vCenter Server y ESXi, el administrador tiene acceso a la cuenta administrator@vsphere.local de vCenter Server y a la cuenta raíz de ESXi. También se pueden tener más usuarios y grupos de AD asignados.
En una implementación de Azure VMware Solution, el administrador no tiene acceso a la cuenta de usuario de administrador ni a la cuenta raíz de ESXi. Sin embargo, puede asignar usuarios y grupos de AD al rol CloudAdmin en vCenter Server. El rol CloudAdmin no tiene permisos para agregar un origen de identidad, como un servidor LDAP o LDAPS local a vCenter Server. Sin embargo, puede usar comandos de ejecución para agregar un origen de identidad y asignar el rol cloudadmin a usuarios y grupos.
El usuario de nube privada no tiene acceso a los componentes de administración específicos que Microsoft admite y administra, ni tampoco puede configurarlos. Por ejemplo, clústeres, hosts, almacenes de datos y conmutadores virtuales distribuidos.
Nota
En Azure VMware Solution, el dominio de SSO vsphere.local se proporciona como un recurso administrado para admitir operaciones de plataforma. No admite la creación y administración de grupos y usuarios locales distintos de los proporcionados de forma predeterminada con la nube privada.
Importante
Azure VMware Solution ofrece roles personalizados en vCenter Server, pero actualmente no los ofrece en el portal de Azure VMware Solution. Para obtener más información, consulte la sección Creación de roles personalizados en vCenter Server más adelante en este artículo.
Ver los privilegios de vCenter
Puede ver los privilegios concedidos al rol CloudAdmin de Azure VMware Solution en su instancia de vCenter de la nube privada de Azure VMware Solution.
Inicie sesión en el cliente de vSphere y vaya a Menú>Administración.
Mire en Control de acceso, seleccione Roles.
En la lista de roles, seleccione CloudAdmin y luego, seleccione Privilegios.
El rol CloudAdmin de Azure VMware Solution tiene los siguientes privilegios en vCenter Server. Para más información, consulte la documentación del producto de VMware.
| Privilegio | Descripción |
|---|---|
| Alarmas | Confirmar alarma Crear alarma Deshabilitar acción de alarma Modificar alarma Eliminar alarma Establecer estado de la alarma |
| Biblioteca de contenido | Agregar elemento de biblioteca Crear una suscripción para una biblioteca publicada Crear biblioteca local Crear biblioteca suscrita Eliminar elemento de biblioteca Eliminar biblioteca local Eliminar biblioteca suscrita Eliminar la suscripción de una biblioteca publicada Descarga de archivos Expulsar elementos de biblioteca Desalojar biblioteca suscrita Importar almacenamiento Sondear información de suscripción Publicar un elemento de biblioteca en sus suscriptores Publicar una biblioteca en sus suscriptores Leer en el almacenamiento Sincronizar elemento de biblioteca Sincronizar biblioteca suscrita Escribir introspección Actualizar valores de configuración Actualizar archivos Actualizar biblioteca Actualizar elemento de biblioteca Actualizar biblioteca local Actualizar biblioteca suscrita Actualizar la suscripción de una biblioteca publicada Ver valores de configuración |
| Operaciones criptográficas | Acceso directo |
| Almacén de datos | Asignar espacio Examen de un almacén de datos Configurar almacén de datos Operaciones de archivo de bajo nivel Quitar archivos Actualizar metadatos de máquina virtual |
| Carpeta | Crear carpeta Eliminar carpeta Mover carpeta Cambiar nombre de la carpeta |
| Global | Cancelar tarea Etiqueta global Health Registrar eventos Administrar atributos personalizados Administradores de servicio Establecer atributo personalizado Etiqueta del sistema |
| Host | Replica de vSphere Administrar replicación |
| Network | Asignar red |
| Permisos | Modificar permisos Modificar rol |
| Almacenamiento controlado por perfiles | Vista de almacenamiento controlado por perfiles |
| Recurso | Aplicar recomendaciones Asignar vApp a un grupo de recursos Asignar máquina virtual a grupo de recursos Crear grupo de recursos Migrar máquina virtual apagada Migrar máquina virtual encendida Modificar grupo de recursos Mover grupo de recursos Consultar vMotion Eliminar grupo de recursos Cambiar nombre del grupo de recursos |
| Tarea programada | Crear la tarea Modificar tarea Quitar tarea Ejecutar tarea |
| Sesiones | Message Validar sesión |
| Vista de almacenamiento | Ver |
| vApp | Agregar máquina virtual Asignar grupo de recursos Asignar vApp Clonar Crear Eliminar Exportación Importar Move Apagado Encendido Cambiar nombre Suspender Unregister Ver el entorno de OVF Configuración de aplicaciones de vApp Configuración de instancias de vApp Configuración de managedBy de vApp Configuración de recursos de vApp |
| Máquina virtual | Cambiar configuración Adquirir la concesión de disco Agregar disco existente Agregar disco nuevo Agregar o eliminar dispositivo Configuración avanzada Cambiar cantidad de CPU Cambiar memoria Cambio de configuración Cambiar la ubicación del archivo de intercambio Cambiar recurso Configurar el dispositivo USB del host Configurar el dispositivo sin procesar Configurar managedBy Mostrar configuración de conexión Extender disco virtual Modificar la configuración del dispositivo Consultar compatibilidad con tolerancia a errores Consultar archivos sin propietario Recargar desde rutas de acceso Quitar disco Cambiar nombre Restablecer información de invitados Establecer anotación Alternar el seguimiento de cambios de disco Alternar la bifurcación principal Actualizar compatibilidad con máquina virtual Editar inventario Crear a partir de un elemento existente Crear nuevo Move Register Remove Unregister Operaciones de invitado Modificación de alias de operación de invitado Consulta de alias de operación de invitado Modificaciones de operación de invitado Ejecución del programa de operaciones de invitado Consultas de operaciones de invitado Interacción Responder pregunta Operación de copia de seguridad en la máquina virtual Configurar soporte de CD Configurar soporte de disquete Conexión de dispositivos Interacción de la consola Crear captura de pantalla Desfragmentar todos los discos Arrastrar y colocar Administración del sistema operativo invitado de VIX API Inyectar códigos de digitalización de USB HID Instalar herramientas de VMWare Pausar o desactivar la pausa Operaciones de borrado o reducción Apagado Encendido Registrar sesión en la máquina virtual Volver a reproducir sesión en la máquina virtual Reset Reanudar tolerancia a errores Suspender Suspender tolerancia a errores Conmutaciones por error de prueba Reiniciar prueba de máquina virtual secundaria Desactivar tolerancia a errores Activar tolerancia a errores Aprovisionamiento Permitir acceso al disco Permitir acceso al archivo Permitir acceso a disco de solo lectura Permitir descarga de máquina virtual Clonar plantilla Clonar máquina virtual Crear plantilla a partir de máquina virtual Personalizar invitado Implementar plantilla Marcar como plantilla Modificar especificación de personalización Promocionar discos Leer especificaciones de personalización Configuración del servicio Permitir notificaciones Permitir sondeo de notificaciones de eventos globales Administrar la configuración del servicio Modificar configuraciones de servicio Consultar configuraciones de servicio Leer configuraciones de servicio Administración de instantáneas Creación de instantáneas Quitar instantánea Cambiar nombre de instantánea Revertir instantánea Replica de vSphere Configuración de la replicación Administrar replicación Supervisión de la replicación |
| vService | Crear dependencia Destruir dependencia Volver a configurar la configuración de dependencia Actualizar dependencia |
| Etiquetas de vSphere | Asignar y anular la asignación de la etiqueta vSphere Crear etiqueta vSphere Crear categoría de etiqueta vSphere Eliminar etiqueta vSphere Eliminar categoría de etiqueta vSphere Editar etiqueta vSphere Editar categoría de etiqueta vSphere Modificar el campo UsedBy de la categoría Modificar el campo UsedBy de la etiqueta |
Creación de roles personalizados en vCenter Server
Azure VMware Solution admite el uso de roles personalizados con privilegios iguales o menores que el rol CloudAdmin.
Se utilizará el rol CloudAdmin para crear, modificar o eliminar roles personalizados que tengan privilegios iguales o menores que su rol actual. Puede crear roles con privilegios mayores que CloudAdmin. No puede asignar el rol a ningún usuario o grupo ni eliminar el rol.
Para evitar la creación de roles que no se pueden asignar o eliminar, clone el rol CloudAdmin como base para crear nuevos roles personalizados.
Crear un rol personalizado
Inicie sesión en vCenter Server con cloudadmin@vsphere.local o un usuario con el rol CloudAdmin.
Navegue a la sección configuración Roles y seleccione Menú>Administración>Access Control>Roles.
Seleccione el rol CloudAdmin y seleccione el icono de la acción Clonación de roles.
Nota
No clone el rol Administrador porque no se puede usar. Además, el rol personalizado creado no se puede eliminar mediante cloudadmin@vsphere.local.
Proporcione el nombre que desee para el rol clonado.
Agregue o quite privilegios para el rol y seleccione Aceptar. El rol clonado está visible en la lista de roles.
Aplicación de un rol personalizado
Navegue hasta el objeto que requiere el permiso agregado. Por ejemplo, para aplicar el permiso a una carpeta, vaya a Menú>VM y plantillas>Nombre de carpeta.
Haga clic con el botón derecho en el objeto y seleccione Agregar permiso.
Seleccione el origen de identidad en el menú desplegable Usuario, donde se pueden encontrar el grupo o el usuario.
Busque el usuario o el grupo después de seleccionar el origen de identidad en la sección Usuario.
Seleccione el rol que quiera aplicar al usuario o grupo.
Marque la casilla Propagate to children (Propagar a elementos secundarios) si es necesario y seleccione Aceptar. El permiso agregado se muestra en la sección Permisos.
Acceso e identidad de NSX-T Manager
Cuando se aprovisiona una nube privada mediante Azure Portal, los componentes de administración del Centro de datos definido por software (SDDC), como vCenter y NSX-T Manager, se aprovisionan para los clientes.
Microsoft es responsable de la administración del ciclo de vida de los dispositivos NSX-T, como NSX-T Manager y NSX-T Edge. Son responsables de arrancar la configuración de red, como la creación de la puerta de enlace de nivel 0.
Usted es responsable de la configuración de redes definidas por software (SDN) de NSX-T, por ejemplo:
- Segmentos de red
- Otras puertas de enlace de nivel 1
- Reglas de firewall distribuidas
- Servicios con estado, como el firewall de puerta de enlace
- Equilibrador de carga en puertas de enlace de nivel 1
Puede acceder a NSX-T Manager mediante el usuario local integrado "admin" asignado al rol de Administrador empresarial que proporciona privilegios completos a un usuario para administrar NSX-T. Aunque Microsoft administra el ciclo de vida de NSX-T, un usuario no permite determinadas operaciones. Las operaciones no permitidas incluyen la edición de la configuración de los nodos de transporte perimetral y host o el inicio de una actualización. Para los nuevos usuarios, Azure VMware Solution los implementa con un conjunto específico de permisos que necesita ese usuario. El propósito es proporcionar una separación clara de control entre la configuración del plano de control de Azure VMware Solution y el usuario de la nube privada de Azure VMware Solution.
En el caso de las nuevas implementaciones de nube privada a partir de junio de 2022, se proporcionará acceso A NSX-T con un usuario local al rol de CloudAdmin integrado con un conjunto específico de permisos para usar solo la funcionalidad NSX-T para cargas de trabajo. El nuevo rol CloudAdmin se implementará en fases en todas las regiones a partir de Oeste de EE. UU. y Este de Australia.
Nota
El acceso de administrador a NSX-T no se proporcionará a los usuarios para las implementaciones de nube privada creadas después de junio de 2022.
Permisos de usuario administrador en la nube de NSX-T
Los permisos siguientes se asignan al usuario cloudadmin en Azure VMware Solution NSX-T.
| Category | Tipo | Operación | Permiso |
|---|---|---|---|
| Redes | Conectividad | Puertas de enlace de nivel 0 Puertas de enlace de nivel 1 Segmentos |
Solo lectura Acceso total Acceso total |
| Redes | Network Services | VPN NAT Equilibrio de carga Envío de Azure Policy Estadísticas |
Acceso total Acceso total Acceso total Solo lectura Acceso total |
| Redes | Administración de IP | DNS DHCP Grupos de direcciones IP |
Acceso total Acceso total Acceso total |
| Redes | Profiles | Acceso total | |
| Seguridad | Seguridad horizontal de derecha a izquierda | Firewall distribuido IDS e IPS distribuidos Firewall de identidad |
Acceso total Acceso total Acceso total |
| Seguridad | Seguridad vertical de arriba abajo | Firewall de puerta de enlace Análisis de direcciones URL |
Acceso total Acceso total |
| Seguridad | Introspección de red | Solo lectura | |
| Seguridad | Endpoint Protection | Solo lectura | |
| Seguridad | Configuración | Acceso total | |
| Tema de | Acceso total | ||
| Solución de problemas | IPFIX | Acceso total | |
| Solución de problemas | Duplicación de puertos | Acceso total | |
| Solución de problemas | Flujo de seguimiento | Acceso total | |
| Sistema | Configuración Configuración Configuración Configuración |
Firewall de identidad Usuarios y roles Administración de certificados Configuración de la interfaz de usuario |
Acceso total Acceso total Acceso total Acceso total |
| Sistema | El resto de | Solo lectura |
Puede ver los permisos concedidos al rol CloudAdmin de Azure VMware Solution en su instancia de NSX-T de la nube privada de Azure VMware Solution.
- Inicie sesión en el NSX-T Manager.
- Vaya a Sistemas y busque Usuarios y roles.
- Seleccione y expanda el rol CloudAdmin, que se encuentra en Roles.
- Seleccione una categoría como Redes o Seguridad para ver los permisos específicos.
Nota
Las nubes privadas creadas antes de junio de 2022 cambiarán del rol de administrador al rol CloudAdmin. Recibirá una notificación a través de Azure Service Health que incluye la escala de tiempo de este cambio para que pueda cambiar las credenciales de NSX-T que ha usado para la otra integración.
Pasos siguientes
Ahora que ha visto los conceptos de identidad y acceso de Azure VMware Solution, puede que quiera obtener información sobre: