Conceptos de identidad en Azure VMware Solution
Las nubes privadas de Azure VMware Solution se aprovisionan con vCenter Server y NSX-T Manager. Use vCenter para administrar cargas de trabajo de máquinas virtuales (VM) y NSX-T Manager para administrar y ampliar la nube privada. Se usan el rol CloudAdmin para vCenter y derechos de administrador restringidos para NSX-T Manager.
Acceso e identidad de vCenter
En Azure VMware Solution, vCenter tiene un usuario local integrado denominado cloudadmin que tiene asignado el rol CloudAdmin. Puede configurar usuarios y grupos en Active Directory (AD) con el rol CloudAdmin en la nube privada. En general, el rol CloudAdmin crea y administra las cargas de trabajo en la nube privada. En cambio, en Azure VMware Solution, el rol CloudAdmin tiene privilegios de vCenter que son distintos a los de otras soluciones de nube e implementaciones locales de VMware.
Importante
El usuario local cloudadmin debe tratarse como una cuenta de acceso de emergencia para escenarios de urgencia en la nube privada. No es para actividades administrativas diarias ni para la integración con otros servicios.
En una implementación local de vCenter y ESXi, el administrador tiene acceso a la cuenta de administrador de vCenter@vsphere.local. También se pueden tener más usuarios y grupos de AD asignados.
En una implementación de Azure VMware Solution, el administrador no tiene acceso a la cuenta de usuario de administrador. Sin embargo, puede asignar usuarios y grupos de AD al rol CloudAdmin en vCenter. El rol CloudAdmin no tiene permisos para agregar un origen de identidad, como un servidor LDAP o LDAPS local a vCenter. Sin embargo, puede usar comandos de ejecución para agregar un origen de identidad y asignar el rol cloudadmin a usuarios y grupos.
El usuario de nube privada no tiene acceso a los componentes de administración específicos que Microsoft admite y administra, ni tampoco puede configurarlos. Por ejemplo, clústeres, hosts, almacenes de datos y conmutadores virtuales distribuidos.
Nota
En Azure VMware Solution, el dominio de SSO vsphere.local se proporciona como un recurso administrado para admitir operaciones de plataforma. No admite la creación y administración de grupos y usuarios locales distintos de los proporcionados de forma predeterminada con la nube privada.
Importante
Azure VMware Solution ofrece roles personalizados en vCenter, pero actualmente no los ofrece en el portal de Azure VMware Solution. Para obtener más información, consulte la sección Creación de roles personalizados en vCenter más adelante en este artículo.
Ver los privilegios de vCenter
Puede ver los privilegios concedidos al rol CloudAdmin de Azure VMware Solution en su instancia de vCenter de la nube privada de Azure VMware Solution.
Inicie sesión en el cliente de vSphere y vaya a Menú > Administración.
Mire en Control de acceso, seleccione Roles.
En la lista de roles, seleccione CloudAdmin y luego, seleccione Privilegios.
El rol CloudAdmin de Azure VMware Solution tiene los siguientes privilegios en vCenter. Para más información, consulte la documentación del producto de VMware.
| Privilegio | Descripción |
|---|---|
| Alarmas | Confirmar alarma Crear alarma Deshabilitar acción de alarma Modificar alarma Eliminar alarma Establecer estado de la alarma |
| Biblioteca de contenido | Agregar elemento de biblioteca Crear una suscripción para una biblioteca publicada Crear biblioteca local Crear biblioteca suscrita Eliminar elemento de biblioteca Eliminar biblioteca local Eliminar biblioteca suscrita Eliminar la suscripción de una biblioteca publicada Descarga de archivos Expulsar elementos de biblioteca Desalojar biblioteca suscrita Importar almacenamiento Sondear información de suscripción Publicar un elemento de biblioteca en sus suscriptores Publicar una biblioteca en sus suscriptores Leer en el almacenamiento Sincronizar elemento de biblioteca Sincronizar biblioteca suscrita Escribir introspección Actualizar valores de configuración Actualizar archivos Actualizar biblioteca Actualizar elemento de biblioteca Actualizar biblioteca local Actualizar biblioteca suscrita Actualizar la suscripción de una biblioteca publicada Ver valores de configuración |
| Operaciones criptográficas | Acceso directo |
| Almacén de datos | Asignar espacio Examen de un almacén de datos Configurar almacén de datos Operaciones de archivo de bajo nivel Quitar archivos Actualizar metadatos de máquina virtual |
| Carpeta | Crear carpeta Eliminar carpeta Mover carpeta Cambiar nombre de la carpeta |
| Global | Cancelar tarea Etiqueta global Health Registrar eventos Administrar atributos personalizados Administradores de servicio Establecer atributo personalizado Etiqueta del sistema |
| Host | Replica de vSphere Administrar la replicación |
| Network | Asignar red |
| Permisos | Modificar permisos Modificar rol |
| Perfil | Vista de almacenamiento controlado por perfiles |
| Recurso | Aplicar recomendaciones Asignar vApp a un grupo de recursos Asignar máquina virtual a grupo de recursos Crear grupo de recursos Migrar máquina virtual apagada Migrar máquina virtual encendida Modificar grupo de recursos Mover grupo de recursos Consultar vMotion Eliminar grupo de recursos Cambiar nombre del grupo de recursos |
| Tarea programada | Crear la tarea Modificar tarea Quitar tarea Ejecutar tarea |
| Sesiones | Message Validar sesión |
| Vista de almacenamiento | Ver |
| vApp | Agregar máquina virtual Asignar grupo de recursos Asignar vApp Clonar Crear Eliminar Exportación Importar Move Apagado Encendido Cambiar nombre Suspender Unregister Ver el entorno de OVF Configuración de aplicaciones de vApp Configuración de instancias de vApp Configuración de managedBy de vApp Configuración de recursos de vApp |
| Máquina virtual | Cambiar configuración Adquirir concesión de disco Agregar disco existente Agregar nuevo disco Agregar o quitar dispositivo Configuración avanzada Cambiar cantidad de CPU Cambiar memoria Cambiar configuración Cambiar la ubicación del archivo de intercambio Cambiar recurso Configurar dispositivo USB de host Configurar dispositivo sin formato Configurar managedBy Mostrar la configuración de la conexión Extender disco virtual Modificar la configuración del dispositivo Compatibilidad de tolerancia a errores de consulta Consultar archivos sin propietario Recarga desde rutas de acceso Quitar disco Cambiar el nombre Restablecer información de invitado Establecer anotación Alternancia del seguimiento de cambios de disco Alternar la bifurcación primaria Actualización de la compatibilidad de máquinas virtuales Editar inventario Crear a partir de existente Crear nuevo Mover Registrar Quitar Anular el registro Operaciones de invitado Modificación de alias de operación de invitado Consulta de alias de operación de invitado Modificaciones de operaciones de invitado Ejecución del programa de operaciones de invitado Consultas de operaciones de invitado Interacción Responder pregunta Operación de copia de seguridad en la máquina virtual Configurar elementos multimedia de CD Configurar soporte de disquete Conexión de dispositivos Interacción de la consola Crear captura de pantalla Desfragmentar todos los discos Arrastrar y colocar Administración de sistemas operativos invitados por VIX API Inyectar códigos de digitalización de USB HID Instalación de herramientas de VMware Pausar o desactivar la pausa Realizar operaciones de borrado o reducción Apagar Encender Registrar sesión en la máquina virtual Sesión de reproducción en máquina virtual Suspender Suspender tolerancia a errores Probar la conmutación por error Reinicio de prueba de máquina virtual secundaria Desactivar la tolerancia a errores Activar la tolerancia a errores Aprovisionamiento Permitir acceso al disco Permitir el acceso a archivos Permitir acceso a disco de solo lectura Permitir descarga de máquina virtual Clonar plantilla Clonar máquina virtual Crear plantilla a partir de la máquina virtual Personalizar invitado Implementar plantilla Marcar como plantilla Modificar especificación de personalización Promover discos Leer especificaciones de personalización Configuración del servicio Permitir notificaciones Permitir sondeo de notificaciones de eventos globales Administrar la configuración del servicio Modificar la configuración del servicio Configuraciones del servicio de consulta Leer configuración de servicio Administración de instantáneas Crear instantánea Quitar instantánea Cambiar nombre de instantánea Revertir instantánea Replica de vSphere Configurar la replicación Administrar la replicación Supervisión de la replicación |
| vService | Crear dependencia Destruir dependencia Volver a configurar la configuración de dependencia Actualizar dependencia |
| Etiquetas de vSphere | Asignar y anular la asignación de la etiqueta vSphere Crear etiqueta vSphere Crear categoría de etiqueta vSphere Eliminar etiqueta vSphere Eliminar categoría de etiqueta vSphere Editar etiqueta vSphere Editar categoría de etiqueta vSphere Modificar el campo UsedBy de la categoría Modificar el campo UsedBy de la etiqueta |
Creación de roles personalizados en vCenter
Azure VMware Solution admite el uso de roles personalizados con privilegios iguales o menores que el rol CloudAdmin.
Se utilizará el rol CloudAdmin para crear, modificar o eliminar roles personalizados que tengan privilegios iguales o menores que su rol actual. Puede crear roles con privilegios mayores que CloudAdmin, pero no podrá asignar el rol a ningún usuario o grupo ni eliminar el rol.
Para evitar la creación de roles que no se pueden asignar o eliminar, clone el rol CloudAdmin como base para crear nuevos roles personalizados.
Crear un rol personalizado
Inicie sesión en vCenter con cloudadmin@vsphere.local o un usuario con el rol CloudAdmin.
Navegue a la sección configuración Roles y seleccione Menú > Administración > Access Control > Roles.
Seleccione el rol CloudAdmin y seleccione el icono de la acción Clonación de roles.
Nota
No clone el rol Administrador porque no se puede usar. Además, cloudadmin@vsphere.local no puede eliminar el rol personalizado creado.
Proporcione el nombre que desee para el rol clonado.
Agregue o quite privilegios para el rol y seleccione Aceptar. El rol clonado está visible en la lista de roles.
Aplicación de un rol personalizado
Navegue hasta el objeto que requiere el permiso agregado. Por ejemplo, para aplicar el permiso a una carpeta, vaya a Menú > VM y plantillas > Nombre de carpeta.
Haga clic con el botón derecho en el objeto y seleccione Agregar permiso.
Seleccione el origen de identidad en el menú desplegable Usuario, donde se pueden encontrar el grupo o el usuario.
Busque el usuario o el grupo después de seleccionar el origen de identidad en la sección Usuario.
Seleccione el rol que quiera aplicar al usuario o grupo.
Marque la casilla Propagate to children (Propagar a elementos secundarios) si es necesario y seleccione Aceptar. El permiso agregado se muestra en la sección Permisos.
Acceso e identidad de NSX-T Manager
Nota
NSX-T 3.1.2 se admite actualmente en todas las nuevas nubes privadas.
Use la cuenta de administrador para acceder a NSX-T Manager. Tiene privilegios completos y le permite crear y administrar puertas de enlace, segmentos (conmutadores lógicos) y todos los servicios de nivel 1 (T1). Además, los privilegios proporcionan acceso a la puerta de enlace de nivel 0 (T0) de NSX-T. Un cambio en la puerta de enlace T0 podría provocar una reducción del rendimiento de la red o la pérdida de acceso a la nube privada. Abra una solicitud de soporte técnico en Azure Portal para solicitar cambios en la puerta de enlace NSX-T T0.
Pasos siguientes
Ahora que ha visto los conceptos de identidad y acceso de Azure VMware Solution, puede que quiera obtener información sobre: