Gestion des identités et des accès à l’échelle de l’entreprise pour Azure VMware Solution
Cet article s’appuie sur les informations trouvées dans Gestion des identités et des accès et Concepts d’identité d’Azure VMware Solution.
Utilisez ces informations pour examiner les considérations et recommandations de conception relatives à la gestion des identités et des accès spécifiques au déploiement d’Azure VMware Solution.
Les exigences en matière d’identité pour Azure VMware Solution varient en fonction de son implémentation dans Azure. Les informations fournies dans cet article reposent sur les scénarios les plus courants.
Remarques relatives à la conception
Après avoir déployé Azure VMware Solution, le vCenter du nouvel environnement contient un utilisateur local intégré appelé cloudadmin. Cet utilisateur se voit attribuer le rôle CloudAdmin avec plusieurs autorisations dans vCenter Server. Vous pouvez également créer des rôles personnalisés dans votre environnement Azure VMware Solution à l’aide du principe des privilèges minimum avec le rôle RBAC.
Recommandations de conception
Dans le cadre de la zone d’atterrissage de gestion des identités et des accès à l’échelle de l’entreprise, déployez un contrôleur de domaine Active Directory Domain Services (AD DS) dans l’abonnement d’identité.
Limitez le nombre d’utilisateurs auxquels vous attribuez le rôle CloudAdmin. Utilisez des rôles personnalisés et un privilège minimum pour attribuer des utilisateurs à Azure VMware Solution.
Soyez prudent lors de la rotation des mots de passe cloudadmin et NSX admin.
Limitez les autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure VMware Solution au groupe de ressources dans lequel il est déployé et aux utilisateurs qui doivent gérer Azure VMware Solution.
Si nécessaire, configurez uniquement les autorisations vSphere avec des rôles personnalisés au niveau de la hiérarchie. Il est préférable d’appliquer des autorisations au dossier de la machine virtuelle ou au pool de ressources qui convient. Évitez d’appliquer des autorisations vSphere à un niveau supérieur ou égal au centre de données.
Mettez à jour les sites et services Active Directory pour diriger le trafic AD DS Azure et Azure VMware Solution vers les contrôleurs de domaine appropriés.
Utilisez la commande Run dans votre cloud privé pour :
Ajouter un contrôleur de domaine AD DS en tant que source d’identité pour vCenter Server et NSX-T Data Center.
Fournir une opération de cycle de vie sur le groupe
vsphere.local\CloudAdmins.
Créer des groupes dans Active Directory et utiliser RBAC pour gérer vCenter Server et NSX-T Data Center. Vous pouvez créer des rôles personnalisés et attribuer des groupes Active Directory aux rôles personnalisés.
Étapes suivantes
Découvrez la topologie réseau et connectivité d’un scénario Azure VMware Solution à l’échelle de l’entreprise. Examinez les considérations et meilleures pratiques de conception en matière de mise en réseau et de connectivité avec Microsoft Azure et Azure VMware Solution.