Azure VMware Solution の ID の概念

Azure VMware Solution のプライベート クラウドは、vCenter Server と NSX-T Manager を使用してプロビジョニングされます。 vCenter は仮想マシン (VM) のワークロードを管理するために使用し、NSX-T Manager はプライベート クラウドの管理と拡張を行うために使用します。 vCenter には CloudAdmin ロールが使用され、NSX-T Manager には制限付き管理者権限が使用されます。

vCenter のアクセスと ID

Azure VMware Solution では、vCenter に cloudadmin という組み込みのローカル ユーザーがあり、CloudAdmin ロールに割り当てられています。 プライベート クラウドの CloudAdmin ロールを使用して Active Directory Domain Services (AD) のユーザーとグループを構成できます。 通常、プライベート クラウドのワークロードは、CloudAdmin ロールによって作成と管理が行われます。 しかし Azure VMware Solution では、CloudAdmin ロールに、他の VMware クラウド ソリューションやオンプレミスのデプロイとは異なる vCenter 特権があります。

重要

ローカルの cloudadmin ユーザーは、プライベート クラウドの「中断グラス」シナリオの緊急アクセス アカウントとして扱う必要があります。 日常の管理アクティビティや他のサービスとの統合には適していません。

  • vCenter と ESXi のオンプレミスのデプロイでは、管理者は vCenter administrator@vsphere.local アカウントにアクセスできます。 さらに多くの AD ユーザーとグループを割り当てることもできます。

  • Azure VMware Solution のデプロイでは、管理者が管理者ユーザー アカウントにアクセスすることはできません。 ただし、AD ユーザーとグループを vCenter の CloudAdmin ロールに割り当てることができます。 CloudAdmin ロールには、オンプレミスの LDAP や LDAPS サーバーなどの ID ソースを vCenter に追加するためのアクセス許可がありません。 ただし、実行コマンドを使用して ID ソースを追加し、cloudadmin ロールをユーザーとグループに割り当てることができます。

プライベート クラウド ユーザーは、Microsoft がサポートと管理を行う特定の管理コンポーネントにはアクセスできず、それらを構成することもできません。 (クラスター、ホスト、データストア、分散仮想スイッチなど)。

注意

Azure VMware Solution では、プラットフォーム操作をサポートするために、 vsphere.local SSO ドメインが管理対象リソースとして提供されます。 ローカル グループと、プライベート クラウドで既定で提供されるユーザー以外のユーザーの作成と管理はサポートされていません。

重要

Azure VMware Solution により、vCenter のカスタム ロールが提供されていますが、現在、Azure VMware Solution ポータルでは提供されていません。 詳細については、この記事の後半の「vCenter でカスタム ロールを作成する」セクションを参照してください。

vCenter の特権を表示する

Azure VMware Solution プライベート クラウドの vCenter で Azure VMware Solution の CloudAdmin ロールに付与された特権を確認できます。

  1. vSphere Client にサインインし、 [Menu](メニュー) > [Administration](管理) の順に移動します。

  2. [Access Control](アクセス制御) で、 [Roles](ロール) を選択します。

  3. ロールの一覧から [CloudAdmin] を選択し、 [Privileges](特権) を選択します。

    vSphere Client での CloudAdmin のロールと特権を示すスクリーンショット。

Azure VMware Solution の CloudAdmin ロールには、vCenter に対する次の特権があります。 詳細については、VMware 製品のドキュメントを参照してください。

特権 説明
アラーム アラートの確認
アラームの作成
アラーム アクションの無効化
アラームの変更
アラームの削除
アラームの状態の設定
コンテンツ ライブラリ ライブラリ項目の追加
発行されたライブラリのサブスクリプションの作成
ローカル ライブラリの作成
サブスクライブ済みライブラリの作成
ライブラリ項目の削除
ローカル ライブラリの削除
サブスクライブ済みライブラリの削除
発行されたライブラリのサブスクリプションの削除
ファイルのダウンロード
ライブラリ項目の強制削除
サブスクライブ済みライブラリの強制削除
ストレージのインポート
サブスクリプション情報のプローブ
ライブラリ項目のサブスクライバーへの発行
ライブラリのサブスクライバーへの発行
ストレージの読み取り
ライブラリ項目の同期
サブスクライブ済みライブラリの同期
イントロスペクションの入力
構成設定の更新
ファイルの更新
ライブラリの更新
ライブラリ項目の更新
ローカル ライブラリの更新
サブスクライブ済みライブラリの更新
発行されたライブラリのサブスクリプションの更新
構成設定の表示
暗号化操作 直接アクセス
データストア 領域の割り当て
データストアを参照する
データストアの構成
低レベルのファイル操作
ファイルの削除
仮想マシン メタデータの更新
フォルダー フォルダーの作成
フォルダーの削除
フォルダーの移動
フォルダー名の変更
グローバル タスクの取り消し
グローバル タグ
Health
イベントのログ記録
カスタム属性の管理
サービス マネージャー
カスタム属性の設定
システム タグ
Host vSphere レプリケーション
    レプリケーションの管理
Network ネットワークの割り当て
アクセス許可 アクセス許可の変更
ロールの変更
プロファイル プロファイル駆動型ストレージ ビュー
リソース Apply recommendation
リソース プールへの vApp の割り当て
リソース プールへの仮想マシンの割り当て
リソース プールの作成
電源がオフの仮想マシンの移行
電源がオンの仮想マシンの移行
リソース プールの変更
リソース プールの移動
vMotion のクエリ
リソース プールの削除
リソース プールの名前変更
スケジュールされたタスク タスクを作成する
タスクの変更
タスクの削除
タスクの実行
セッション Message
セッションの検証
ストレージ ビュー 表示
vApp 仮想マシンの追加
リソース プールの割り当て
vApp の割り当て
複製
作成
削除
エクスポート
[インポート]
詳細ビュー
電源オフ
電源投入
[名前の変更]
[中断]
Unregister
OVF 環境の表示
vApp アプリケーション構成
vApp インスタンス構成
vApp managedBy 構成
vApp リソース構成
仮想マシン 構成の変更
    ディスク リースの取得
    既存のディスクの追加
    新しいディスクの追加
    デバイスの追加または削除
    詳細な構成
    CPU 数の変更
    メモリの変更
    設定の変更
    スワップファイル配置の変更
    リソースの変更
    ホスト USB デバイスの構成
    raw デバイスの構成
    managedBy の構成
    接続設定の表示
    仮想ディスクの拡張
    デバイスの設定の変更
    フォールト トレランス互換性のクエリ
    所有者のないファイルのクエリ
    パスからの再読み込み
    ディスクの削除
    名前の変更
    ゲスト情報のリセット
    注釈の設定
    ディスク変更追跡の切り替え
    フォークの親の切り替え
    仮想マシン互換性のアップグレード
インベントリの編集
    既存からの作成
    新規作成
    移動
    登録
    削除
    登録解除
ゲスト操作
    ゲスト操作エイリアスの変更
    ゲスト操作エイリアスのクエリ
    ゲスト操作の変更
    ゲスト操作プログラム実行
    ゲスト操作クエリ
相互作用
    質問に答える
    仮想マシンに対するバックアップ操作
    CD メディアの構成
    フロッピー メディアの構成
    デバイスの接続
    コンソール対話
    スクリーンショットの作成
    すべてのディスクのデフラグ
    ドラッグ アンド ドロップ
    VIX API によるゲスト オペレーティング システム管理
    USB HID スキャン コードの挿入
    VMware ツールのインストール
    一時停止または一時停止解除
    ワイプまたは縮小の操作
    電源オフ
    電源オン
    仮想マシン上のセッションの記録
    仮想マシン上のセッションの再生
    一時停止
    フォールト トレランスの一時停止
    フェールオーバーのテスト
    セカンダリ VM の再起動のテスト
    フォールト トレランスの無効化
    フォールト トレランスの有効化
プロビジョニング
    ディスク アクセスの許可
    ファイル アクセスの許可
    読み取り専用ディスク アクセスの許可
    仮想マシンのダウンロードの許可
    テンプレートのクローン
    仮想マシンのクローン
    仮想マシンからのテンプレートの作成
    ゲストのカスタマイズ
    テンプレートのデプロイ
    テンプレートとしてマーク
    カスタマイズ仕様の変更
    ディスクの昇格
    カスタマイズ仕様の読み取り
サービス構成
    通知の許可
    グローバル イベント通知のポーリングの許可
    サービスの構成の更新
    サービス構成の変更
    サービス構成のクエリ
    サービス構成の読み取り
スナップショットの管理
    スナップショットの作成
    スナップショットの削除
    スナップショット名の変更
    スナップショットを元に戻す
vSphere レプリケーション
    レプリケーションの構成
    レプリケーションの管理
    レプリケーションの監視
vService 依存関係の作成
依存関係の破棄
依存関係の再構成
依存関係の更新
vSphere のタグ付け vSphere タグの割り当てと割り当て解除
vSphere タグの作成
vSphere タグ カテゴリの作成
vSphere タグの削除
vSphere タグ カテゴリの削除
vSphere タグの編集
vSphere タグ カテゴリの編集
カテゴリの UsedBy フィールドの変更
タグの UsedBy フィールドの変更

vCenter でカスタム ロールを作成する

Azure VMware Solution では、CloudAdmin ロール以下の権限を持つカスタム ロールの使用がサポートされています。

CloudAdmin ロールを使用し、現在のロール以下の権限を持つカスタム ロールを作成、変更、削除します。 CloudAdmin よりも強力な権限を持つロールを作成できますが、そのロールをユーザーまたはグループに割り当てたり、削除したりすることはできません。

割り当てと削除ができないロールの作成を防止するために、新しいカスタム ロールを作成するための基礎として CloudAdmin ロールを複製します。

カスタム ロールを作成する

  1. cloudadmin@vsphere.local で、または CloudAdmin ロールを持つユーザーで vCenter にサインインします。

  2. [ロール] 構成セクションに移動し、 [メニュー] > [管理] > [アクセス コントロール] > [ロール] の順に移動します。

  3. CloudAdmin ロールを選択し、 [ロールのクローン作成アクション] アイコンを選択します。

    注意

    管理者 ロールは使用できないため、複製しないでください。 また、作成されたカスタム ロールは、cloudadmin@vsphere.local では作成できません。

  4. 複製するロールの名前を指定します。

  5. ロールの権限を追加または削除し、 [OK] 選択します。 複製されたロールは [ロール] 一覧に表示されます。

カスタム ロールを適用する

  1. 追加したアクセス許可を必要とするオブジェクトに移動します。 たとえば、フォルダーにアクセス許可を適用するには、 [メニュー] > [仮想マシンおよびテンプレート] > [フォルダー名] の順に移動します。

  2. オブジェクトを右クリックし、 [アクセス許可の追加] を選択します。

  3. グループまたはユーザーを検索できる [ユーザー] ドロップダウンで ID ソースを選択します。

  4. [ユーザー] セクションで ID ソースを選択したら、ユーザーまたはグループを検索します。

  5. そのユーザーまたはグループに適用するロールを選択します。

  6. 必要に応じて [子へ伝達] をオンにし、 [OK] を選択します。 追加されたアクセス許可は、 [権限] セクションに表示されます。

NSX-T Manager のアクセスと ID

注意

NSX-T 3.1.2 は、現在すべての新しいプライベート クラウドでサポートされています。

NSX-T Manager には "管理者" アカウントを使用してアクセスします。 これには完全な特権があるため、Tier-1 (T1) ゲートウェイ、セグメント (論理スイッチ)、およびすべてのサービスを作成および管理できます。 また、この特権により、NSX-T Tier-0 (T0) ゲートウェイへのアクセスが可能になります。 T0 ゲートウェイを変更すると、ネットワーク パフォーマンスが低下したり、プライベート クラウドにアクセスできなくなったりする可能性があります。 Azure portal でサポート リクエストを開いて、NSX-T T0 ゲートウェイに対する変更を依頼してください。

次のステップ

Azure VMware Solution のアクセスと ID に関する概念を理解したら、次の事項の学習に進むことができます。