Bei der Konfiguration von vSphere Trust Authority müssen Sie die Hardware- und Softwareanforderungen berücksichtigen. Zur Verwendung von Verschlüsselung müssen Sie Kryptografieberechtigungen und -rollen festlegen. Der Benutzer, der vSphere Trust Authority-Aufgaben durchführt, muss über die entsprechenden Berechtigungen verfügen.
Anforderungen für vSphere Trust Authority
Zur Verwendung von vSphere Trust Authority muss die vSphere-Umgebung folgende Voraussetzungen erfüllen:
- Hardwareanforderungen für vertrauenswürdigen ESXi-Host:
- TPM 2.0
- Sicherer Start muss aktiviert sein
- EFI-Firmware
- Anforderungen an Komponenten:
- vCenter Server 7.0 oder höher
- Ein dediziertes vCenter Server-System für den vSphere Trust Authority-Cluster und ESXi-Hosts
- Ein separates vCenter Server-System für den vertrauenswürdigen Cluster und vertrauenswürdige ESXi-Hosts
- Ein Schlüsselserver (in früheren vSphere-Versionen als Schlüsselverwaltungsserver oder KMS bezeichnet)
- Anforderungen an virtuelle Maschinen:
- EFI-Firmware
- Sicherer Start ist aktiviert
vSphere Trust Authority und Kryptografierechte
vSphere Trust Authority führt keine neuen Kryptografieberechtigungen ein. Die in Verwenden von Kryptografieberechtigungen und ‑rollen beschriebenen Kryptografieberechtigungen gelten ebenfalls für vSphere Trust Authority.
vSphere Trust Authority und Hostverschlüsselungsmodus
vSphere Trust Authority führt keine neuen Anforderungen für die Aktivierung des Hostverschlüsselungsmodus auf den vertrauenswürdigen ESXi-Hosts ein. Weitere Informationen zum Hostverschlüsselungsmodus finden Sie unter Voraussetzungen und erforderliche Berechtigungen für VM-Verschlüsselungsaufgaben.
Verwenden der vSphere Trust Authority-Rollen und zur TrustedAdmins-Gruppe
vSphere Trust Authority-Vorgänge benötigen einen Benutzer, der Mitglied der TrustedAdmins-Gruppe ist. Dieser Benutzer wird als Trust Authority-Administrator bezeichnet. vSphere-Administratoren müssen sich entweder selbst oder andere Benutzer zur TrustedAdmins-Gruppe hinzufügen, um die Rolle „Administrator der vertrauenswürdigen Infrastruktur“ zu erhalten. Die Rolle „Administrator der vertrauenswürdigen Infrastruktur“ ist für vCenter Server-Autorisierung erforderlich. Die TrustedAdmins-Gruppe wird für die Authentifizierung auf den ESXi-Hosts benötigt, die Teil der vertrauenswürdigen Infrastruktur sind. Benutzer mit der Berechtigung für ESXi-Hosts können den vertrauenswürdigen Cluster verwalten. Die vCenter Server-Berechtigungen werden nicht an die Trust Authority-Hosts, sondern nur an die vertrauenswürdigen Hosts weitergegeben. Nur Mitgliedern der TrustedAdmins-Gruppe werden Berechtigungen auf den Trust Authority-Hosts erteilt. Die Gruppenmitgliedschaft wird auf dem ESXi-Host selbst überprüft.
Nachdem vSphere Trust Authority aktiviert wurde, können Trust Authority-Administratoren vertrauenswürdige Schlüsselanbieter zu vertrauenswürdigen Hosts zuweisen. Diese vertrauenswürdigen Hosts können dann die vertrauenswürdigen Schlüsselanbieter verwenden, um kryptografische Aufgaben durchzuführen.
Neben der Rolle „Administrator der vertrauenswürdigen Infrastruktur“ stellt vSphere Trust Authority die Rolle „Kein Administrator der vertrauenswürdigen Infrastruktur“ bereit, die alle Berechtigungen in vCenter Server enthält, mit Ausnahme derjenigen, die die vSphere Trust Authority-APIs aufrufen.
vSphere Trust Authority-Gruppen, -Rollen und -Benutzer funktionieren folgendermaßen:
- Beim ersten Start erteilt vSphere der TrustedAdmins-Gruppe die Rolle „Administrator der vertrauenswürdigen Infrastruktur“, die über globale Berechtigungen verfügt.
- Bei der Rolle „Administrator der vertrauenswürdigen Infrastruktur“ handelt es sich um eine Systemrolle, die über die erforderlichen Berechtigungen zum Aufrufen der vSphere Trust Authority-APIs (TrustedAdmin.*) sowie über die Systemrechte System.Read, System.View und System.Anonymous zum Anzeigen von Bestandslistenobjekten verfügt.
- Die Rolle „Kein Administrator der vertrauenswürdigen Infrastruktur“ ist eine Systemrolle, die alle Berechtigungen in vCenter Server enthält, mit Ausnahme derjenigen, die die vSphere Trust Authority-APIs aufrufen. Wenn Sie neue Berechtigungen zu vCenter Server hinzufügen, werden diese ebenfalls zur Rolle „Kein Administrator der vertrauenswürdigen Infrastruktur“ hinzugefügt. (Die Rolle „Kein Administrator der vertrauenswürdigen Infrastruktur“ ist mit der Rolle „Kein Kryptografie-Administrator“ vergleichbar.)
- Die vSphere Trust Authority-Berechtigungen (TrustedAdmin.*-APIs) sind nicht in der Rolle „Kein Kryptografie-Administrator“ enthalten, sodass Benutzer mit dieser Rolle keine vertrauenswürdige Infrastruktur einrichten oder Kryptografievorgänge durchführen können.
Die Anwendungsfälle für diese Benutzer, Gruppen und Rollen werden in der folgenden Tabelle angezeigt.
Benutzer, Gruppe oder Rolle | Kann vSphere Trust Authority vCenter Server-API aufrufen (enthält Aufrufe an vSphere Trust Authority ESXi-API) | Kann vSphere Trust Authority vCenter Server-API aufrufen (enthält keine Aufrufe an vSphere Trust Authority ESXi-API) | Kann Hostvorgänge im Cluster durchführen, die nicht mit vSphere Trust Authority zusammenhängen | Kommentar |
---|---|---|---|---|
Benutzer in der Gruppe „Administrators@system.domain“ und in der Gruppe „TrustedAdmins@system.domain“ | Ja | Ja | Ja | – |
Nur Benutzer in der Gruppe „TrustedAdmins@system.domain“ | Ja | Ja | Nein | Ein solcher Benutzer kann keine regelmäßigen Clusterverwaltungsvorgänge durchführen. |
Nur Benutzer in der Gruppe „Administrators@system.domain“ | Ja | Nein | Ja | – |
Benutzer mit der Rolle „Administrator der vertrauenswürdigen Infrastruktur“, die aber kein Mitglied der Gruppe „TrustedAdmins@system.domain“ sind | Ja | Nein | Nein | Der ESXi-Host überprüft die Gruppenmitgliedschaft des Benutzers, um Berechtigungen zu erteilen. |
Nur Benutzer mit der Rolle „Kein Administrator der vertrauenswürdigen Infrastruktur“ | Nein | Nein | Ja | Ein solcher Benutzer ähnelt einem Administrator, der keine vSphere Trust Authority-Vorgänge durchführen kann. |