Debe tener en cuenta los requisitos de hardware y software al configurar vSphere Trust Authority. Debe establecer privilegios y funciones de cifrado para utilizar el cifrado. El usuario que realiza tareas de vSphere Trust Authority debe contar con los privilegios correspondientes.
Requisitos de vSphere Trust Authority
Para utilizar vSphere Trust Authority, el entorno de vSphere debe cumplir con estos requisitos:
- Requisitos de hardware del host de confianza ESXi:
- TPM 2.0
- Debe estar habilitado el arranque seguro
- Firmware EFI.
- Requisitos de los componentes:
- vCenter Server 7.0 o versiones posteriores
- Un sistema de vCenter Server dedicado para el clúster de vSphere Trust Authority y los hosts ESXi
- Un sistema de vCenter Server independiente para el clúster de confianza y los hosts ESXi de confianza
- Un servidor de claves (llamado servidor de administración de claves, o KMS, en versiones anteriores de vSphere)
- Requisitos de la máquina virtual:
- Firmware EFI.
- Arranque seguro habilitado
Privilegios de cifrado
vSphere Trust Authority no introduce ningún privilegio de cifrado nuevo. A vSphere Trust Authority se aplican los mismos privilegios de cifrado descritos en Privilegios de cifrado y funciones.
Modo de cifrado de host
vSphere Trust Authority no introduce ningún nuevo requisito para habilitar el modo de cifrado de host en los hosts ESXi de confianza. Consulte Requisitos previos y privilegios necesarios para tareas de cifrado para obtener más información sobre el modo de cifrado del host.
Acerca de las funciones de vSphere Trust Authority y el grupo TrustedAdmins
Para que vSphere Trust Authority funcione, se requiere un usuario que sea miembro del grupo TrustedAdmins. Este usuario se denomina administrador de Trust Authority. Los administradores de vSphere deben agregarse al grupo TrustedAdmins o agregar otros usuarios al grupo para obtener la función Administrador de infraestructura de confianza. La función Administrador de infraestructura de confianza es necesaria para la autorización de vCenter Server. El grupo TrustedAdmins es necesario para la autenticación en los hosts ESXi que forman parte de la infraestructura de confianza. Los usuarios con el privilegio en ESXi hosts pueden administrar el clúster de confianza. Los permisos vCenter Server no se propagan a los hosts de Trust Authority, solo a los hosts de confianza. Solo los miembros del grupo TrustedAdmins reciben privilegios en los hosts de Trust Authority. La membresía al grupo se verifica en el propio host ESXi.
Una vez que vSphere Trust Authority está habilitado, los administradores de Trust Authority pueden asignar proveedores de claves de confianza a los hosts de confianza. Estos hosts de confianza pueden utilizar los proveedores de claves de confianza para realizar tareas de cifrado.
Además de la función Administrador de infraestructura de confianza, vSphere Trust Authority proporciona la función Sin administrador de infraestructura de confianza, que contiene todos los privilegios en vCenter Server, excepto los que llaman a las API de vSphere Trust Authority.
Los grupos, las funciones y los usuarios de vSphere Trust Authority funcionan de la siguiente manera:
- En el primer arranque, vSphere otorga al grupo TrustedAdmins la función Administrador de infraestructura de confianza, que tiene permisos globales.
- La función Administrador de infraestructuras de confianza es una función del sistema que tiene los privilegios necesarios para llamar a las API de vSphere Trust Authority (TrustedAdmin.*) y los privilegios del sistema System.Read, System.View y System.Anonymous para ver los objetos del inventario.
- La función Sin administrador de infraestructura de confianza es una función del sistema que contiene todos los privilegios en vCenter Server, excepto aquellos para llamar a las API de vSphere Trust Authority. Al agregar nuevos privilegios a vCenter Server, también se agregan a la función Sin administrador de infraestructura de confianza. (La función Sin administrador de infraestructura de confianza es similar a la función Sin administrador de criptografía).
- Los privilegios de vSphere Trust Authority (API de TrustedAdmin.*) no se incluyen en la función Sin administrador de criptografía, lo cual impide que los usuarios con esta función configuren una infraestructura de confianza o realicen operaciones criptográficas.
Los casos de uso para estos usuarios, grupos y funciones se muestran en la siguiente tabla.
Usuario, grupo o función | Puede llamar a la API de vCenter Server de vSphere Trust Authority (incluye llamadas a la API de ESXi de vSphere Trust Authority) | Puede llamar a la API de vCenter Server de vSphere Trust Authority (no incluye llamadas a la API de ESXi de vSphere Trust Authority) | Puede realizar operaciones de host en un clúster que no está relacionado con vSphere Trust Authority | Comentario |
---|---|---|---|---|
Usuario en el grupo Administrators@system.domain y en el grupo TrustedAdmins@system.domain | Sí | Sí | Sí | No corresponde |
Usuario solo en el grupo TrustedAdmins@system.domain | Sí | Sí | No | Este tipo de usuario no puede realizar operaciones normales de administración de clústeres. |
Usuario solo en el grupo Administrators@system.domain | Sí | No | Sí | No corresponde |
Usuario con la función Administrador de infraestructura de confianza, pero no en el grupo TrustedAdmins@ system.domain | Sí | No | No | El host ESXi comprueba que el usuario pertenece al grupo para conceder permisos. |
Usuario solo con la función Sin administrador de infraestructura de confianza | No | No | Sí | Este tipo de usuario es similar a un administrador que no puede realizar operaciones de vSphere Trust Authority. |