Bei der Konfiguration von vSphere Trust Authority müssen Sie die Hardware- und Softwareanforderungen berücksichtigen. Zur Verwendung von Verschlüsselung müssen Sie Kryptografieberechtigungen und -rollen festlegen. Der Benutzer, der vSphere Trust Authority-Aufgaben durchführt, muss über die entsprechenden Berechtigungen verfügen.

Anforderungen für vSphere Trust Authority

Zur Verwendung von vSphere Trust Authority muss die vSphere-Umgebung folgende Voraussetzungen erfüllen:

  • Hardwareanforderungen für vertrauenswürdigen ESXi-Host:
    • TPM 2.0
    • Sicherer Start muss aktiviert sein
    • EFI-Firmware
  • Anforderungen an Komponenten:
    • vCenter Server 7.0 oder höher
    • Ein dediziertes vCenter Server-System für den vSphere Trust Authority-Cluster und ESXi-Hosts
    • Ein separates vCenter Server-System für den vertrauenswürdigen Cluster und vertrauenswürdige ESXi-Hosts
    • Ein Schlüsselserver (in früheren vSphere-Versionen als Schlüsselverwaltungsserver oder KMS bezeichnet)
  • Anforderungen an virtuelle Maschinen:
    • EFI-Firmware
    • Sicherer Start ist aktiviert
Hinweis: Stellen Sie vor der Konfiguration von vSphere Trust Authority sicher, dass Sie Ihre vCenter Server-Systeme für den Trust Authority- und den vertrauenswürdigen Cluster eingerichtet und jedem Cluster ESXi-Hosts hinzugefügt haben.

Kryptografieberechtigungen

vSphere Trust Authority führt keine neuen Kryptografieberechtigungen ein. Die in Kryptografie-Berechtigungen und -rollen beschriebenen Kryptografieberechtigungen gelten ebenfalls für vSphere Trust Authority.

Hostverschlüsselungsmodus

vSphere Trust Authority führt keine neuen Anforderungen für die Aktivierung des Hostverschlüsselungsmodus auf den vertrauenswürdigen ESXi-Hosts ein. Weitere Informationen zum Hostverschlüsselungsmodus finden Sie unter Voraussetzungen und erforderliche Berechtigungen für die Verschlüsselung.

Informationen zu den vSphere Trust Authority-Rollen und zur TrustedAdmins-Gruppe

vSphere Trust Authority-Vorgänge benötigen einen Benutzer, der Mitglied der TrustedAdmins-Gruppe ist. Dieser Benutzer wird als Trust Authority-Administrator bezeichnet. vSphere-Administratoren müssen sich entweder selbst oder andere Benutzer zur TrustedAdmins-Gruppe hinzufügen, um die Rolle „Administrator der vertrauenswürdigen Infrastruktur“ zu erhalten. Die Rolle „Administrator der vertrauenswürdigen Infrastruktur“ ist für vCenter Server-Autorisierung erforderlich. Die TrustedAdmins-Gruppe wird für die Authentifizierung auf den ESXi-Hosts benötigt, die Teil der vertrauenswürdigen Infrastruktur sind. Benutzer mit der Berechtigung Kryptografische Vorgänge.Host registrieren für ESXi-Hosts können den vertrauenswürdigen Cluster verwalten. Die vCenter Server-Berechtigungen werden nicht an die Trust Authority-Hosts, sondern nur an die vertrauenswürdigen Hosts weitergegeben. Nur Mitgliedern der TrustedAdmins-Gruppe werden Berechtigungen auf den Trust Authority-Hosts erteilt. Die Gruppenmitgliedschaft wird auf dem ESXi-Host selbst überprüft.

Hinweis: vSphere-Administratoren und Mitgliedern der Administratorgruppe wird die Rolle „Administrator der vertrauenswürdigen Infrastruktur“ zugewiesen. Diese Rolle allein erlaubt einem Benutzer jedoch nicht, vSphere Trust Authority-Vorgänge durchzuführen. Mitgliedschaft in der TrustedAdmins-Gruppe ist ebenfalls erforderlich.

Nachdem vSphere Trust Authority aktiviert wurde, können Trust Authority-Administratoren vertrauenswürdige Schlüsselanbieter zu vertrauenswürdigen Hosts zuweisen. Diese vertrauenswürdigen Hosts können dann die vertrauenswürdigen Schlüsselanbieter verwenden, um kryptografische Aufgaben durchzuführen.

Neben der Rolle „Administrator der vertrauenswürdigen Infrastruktur“ stellt vSphere Trust Authority die Rolle „Kein Administrator der vertrauenswürdigen Infrastruktur“ bereit, die alle Berechtigungen in vCenter Server enthält, mit Ausnahme derjenigen, die die vSphere Trust Authority-APIs aufrufen.

vSphere Trust Authority-Gruppen, -Rollen und -Benutzer funktionieren folgendermaßen:

  • Beim ersten Start erteilt vSphere der TrustedAdmins-Gruppe die Rolle „Administrator der vertrauenswürdigen Infrastruktur“, die über globale Berechtigungen verfügt.
  • Bei der Rolle „Administrator der vertrauenswürdigen Infrastruktur“ handelt es sich um eine Systemrolle, die über die erforderlichen Berechtigungen zum Aufrufen der vSphere Trust Authority-APIs (TrustedAdmin.*) sowie über die Systemrechte System.Read, System.View und System.Anonymous zum Anzeigen von Bestandslistenobjekten verfügt.
  • Die Rolle „Kein Administrator der vertrauenswürdigen Infrastruktur“ ist eine Systemrolle, die alle Berechtigungen in vCenter Server enthält, mit Ausnahme derjenigen, die die vSphere Trust Authority-APIs aufrufen. Wenn Sie neue Berechtigungen zu vCenter Server hinzufügen, werden diese ebenfalls zur Rolle „Kein Administrator der vertrauenswürdigen Infrastruktur“ hinzugefügt. (Die Rolle „Kein Administrator der vertrauenswürdigen Infrastruktur“ ist mit der Rolle „Kein Kryptografie-Administrator“ vergleichbar.)
  • Die vSphere Trust Authority-Berechtigungen (TrustedAdmin.*-APIs) sind nicht in der Rolle „Kein Kryptografie-Administrator“ enthalten, sodass Benutzer mit dieser Rolle keine vertrauenswürdige Infrastruktur einrichten oder Kryptografievorgänge durchführen können.

Die Anwendungsfälle für diese Benutzer, Gruppen und Rollen werden in der folgenden Tabelle angezeigt.

Tabelle 1. vSphere Trust Authority-Benutzer, -Gruppen und -Rollen
Benutzer, Gruppe oder Rolle Kann vSphere Trust Authority vCenter Server-API aufrufen (enthält Aufrufe an vSphere Trust Authority ESXi-API) Kann vSphere Trust Authority vCenter Server-API aufrufen (enthält keine Aufrufe an vSphere Trust Authority ESXi-API) Kann Hostvorgänge im Cluster durchführen, die nicht mit vSphere Trust Authority zusammenhängen Kommentar
Benutzer in der Gruppe „Administrators@system.domain“ und in der Gruppe „TrustedAdmins@system.domain Ja Ja Ja
Nur Benutzer in der Gruppe „TrustedAdmins@system.domain Ja Ja Nein Ein solcher Benutzer kann keine regelmäßigen Clusterverwaltungsvorgänge durchführen.
Nur Benutzer in der Gruppe „Administrators@system.domain Ja Nein Ja
Benutzer mit der Rolle „Administrator der vertrauenswürdigen Infrastruktur“, die aber kein Mitglied der Gruppe „TrustedAdmins@system.domain“ sind Ja Nein Nein Der ESXi-Host überprüft die Gruppenmitgliedschaft des Benutzers, um Berechtigungen zu erteilen.
Nur Benutzer mit der Rolle „Kein Administrator der vertrauenswürdigen Infrastruktur“ Nein Nein Ja Ein solcher Benutzer ähnelt einem Administrator, der keine vSphere Trust Authority-Vorgänge durchführen kann.