Para configurar y trabajar con cuentas de nube en vRealize Automation, compruebe que dispone de las siguientes credenciales.
Credenciales generales obligatorias
Para... | Necesita... |
---|---|
Registrarse e iniciar sesión en Cloud Assembly |
Un identificador de VMware.
|
Conectarse a los servicios de vRealize Automation |
El puerto HTTPS 443 abierto al tráfico saliente con acceso a través de firewall a:
Para obtener más información sobre puertos y protocolos, consulte Puertos y protocolos de VMware. Para obtener más información sobre puertos y protocolos, consulte Requisitos de puertos en la ayuda de Arquitectura de referencia. |
Credenciales de cuenta de nube de vCenter
En esta sección, se describen las credenciales requeridas para agregar una cuenta de nube de vCenter.
- Dirección IP o FQDN de vCenter
Se enumeran los permisos necesarios para administrar las cuentas de nube de VMware Cloud on AWS y vCenter. Los permisos deben estar habilitados para todos los clústeres de vCenter, no solo para los clústeres que alojan endpoints.
Para admitir el control de Virtual Trusted Platform Module (vTPM) de VMware al implementar máquinas virtuales de Windows 11, debe tener el privilegio operaciones criptográficas -> acceso directo en vCenter. Sin este privilegio, no es posible acceder a la consola desde vRealize Automation a las máquinas virtuales de Windows 11. Para obtener información relacionada, consulte Descripción general del módulo de plataforma de confianza virtual.
Para todas las cuentas de nube basadas en vCenter, entre las que se incluyen NSX-V, NSX-T, vCenter y VMware Cloud on AWS, el administrador debe tener credenciales de endpoint de vSphere o las credenciales con las que el servicio del agente se ejecuta en vCenter, las cuales proporcionan acceso administrativo a la instancia de vCenter de host.
Ajuste | Selección |
---|---|
Almacén de datos |
|
Clúster de almacenes de datos |
|
Carpeta |
|
Global |
|
Red |
|
Permisos |
|
Recurso |
|
Profile-Driven Storage |
|
Biblioteca de contenido Para asignar un privilegio a una biblioteca de contenido, un administrador debe conceder el privilegio al usuario como privilegio global. Para obtener información relacionada, consulte Herencia jerárquica de permisos para bibliotecas de contenido en Administrar máquinas virtuales de vSphere en la documentación de VMware vSphere. |
|
Etiquetado de vSphere |
|
vApp |
|
Máquina virtual: Inventario |
|
Máquina virtual: Interacción |
|
Máquina virtual: Configuración |
|
Máquina virtual: Aprovisionamiento |
|
Máquina virtual: Estado |
|
Credenciales de cuenta de nube de Amazon Web Services (AWS)
En esta sección, se describen las credenciales requeridas para agregar una cuenta de nube de Amazon Web Services. Consulte la sección Credenciales de cuenta de nube de vCenter anterior para conocer los requisitos adicionales de las credenciales.
Proporcionar una cuenta de usuario avanzado con privilegios de lectura y escritura. La cuenta de usuario debe pertenecer a la directiva de acceso de alimentación (PowerUserAccess) en el sistema de administración de identidades y acceso (Identity and Access Management, IAM) de AWS.
Habilite el identificador de clave de acceso de 20 dígitos y el acceso a la clave de acceso secreta correspondiente.
Si utiliza un proxy de Internet HTTP externo, debe configurarlo para IPv4.
Ajuste | Selección |
---|---|
Acciones de ajuste automático de escala | Se recomiendan los siguientes permisos de AWS para permitir las funciones de ajuste automático de escala:
|
Recursos de ajuste automático de escala | Se requieren los siguientes permisos para habilitar los permisos de recursos de ajuste automático de escala:
|
Recursos del servicio de token de seguridad de AWS (AWS Security Token Service, AWS STS) | Se requieren los siguientes permisos para permitir que las funciones del servicio de token de seguridad de AWS (AWS Security Token Service, AWS STS) admitan credenciales temporales de privilegios limitados para la identidad y el acceso de AWS:
|
Acciones de EC2 | Se requieren los siguientes permisos de AWS para permitir las funciones de EC2:
|
Recursos de EC2 |
|
Equilibrio de carga flexible: acciones del equilibrador de carga |
|
Equilibrio de carga flexible: recursos del equilibrador de carga |
|
Administración de identidades y acceso (Identity and Access Management, IAM) de AWS |
Pueden habilitarse los siguientes permisos de administración de identidades y acceso (Identity and Access Management, IAM) de AWS, aunque no son obligatorios:
|
Credenciales de cuenta de nube de Microsoft Azure
En esta sección, se describen las credenciales requeridas para agregar una cuenta de nube de Microsoft Azure.
Configure una instancia de Microsoft Azure y obtenga una suscripción válida a Microsoft Azure a partir de la que pueda usar el identificador de suscripción.
Cree una aplicación de Active Directory como se describe en Procedimientos: Uso del portal para crear una aplicación de Azure AD y una entidad de servicio con acceso a los recursos en la documentación del producto de Microsoft Azure.
Si utiliza un proxy de Internet HTTP externo, debe configurarlo para IPv4.
- Configuración general
Se requieren los siguientes ajustes generales.
Ajuste Descripción Identificador de suscripción Permite acceder a las suscripciones de Microsoft Azure. Identificador de tenant Es el endpoint de autorización de las aplicaciones de Active Directory que se crean en la cuenta de Microsoft Azure. Identificador de la aplicación cliente Otorga acceso a Microsoft Active Directory en la cuenta individual de Microsoft Azure. Clave secreta de la aplicación cliente Es la clave secreta única generada para emparejarse con el identificador de la aplicación cliente. - Configuración para crear y validar cuentas de nube
Se necesitan los siguientes permisos para crear y validar cuentas de nube de Microsoft Azure.
Ajuste Selección Microsoft Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
- Microsoft.Compute/virtualMachines/deallocate/action
- Microsoft.Compute/virtualMachines/delete
- Microsoft.Compute/virtualMachines/powerOff/action
- Microsoft.Compute/virtualMachines/read
- Microsoft.Compute/virtualMachines/restart/action
- Microsoft.Compute/virtualMachines/start/action
- Microsoft.Compute/virtualMachines/write
- Microsoft.Compute/availabilitySets/write
- Microsoft.Compute/availabilitySets/read
- Microsoft.Compute/availabilitySets/delete
- Microsoft.Compute/disks/delete
- Microsoft.Compute/disks/read
- Microsoft.Compute/disks/write
Microsoft Network - Microsoft.Network/loadBalancers/backendAddressPools/join/action
- Microsoft.Network/loadBalancers/delete
- Microsoft.Network/loadBalancers/read
- Microsoft.Network/loadBalancers/write
- Microsoft.Network/networkInterfaces/join/action
- Microsoft.Network/networkInterfaces/read
- Microsoft.Network/networkInterfaces/write
- Microsoft.Network/networkInterfaces/delete
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkSecurityGroups/read
- Microsoft.Network/networkSecurityGroups/write
- Microsoft.Network/networkSecurityGroups/delete
- Microsoft.Network/publicIPAddresses/delete
- Microsoft.Network/publicIPAddresses/join/action
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/publicIPAddresses/write
- Microsoft.Network/virtualNetworks/read
- Microsoft.Network/virtualNetworks/subnets/delete
- Microsoft.Network/virtualNetworks/subnets/join/action
- Microsoft.Network/virtualNetworks/subnets/read
- Microsoft.Network/virtualNetworks/subnets/write
- Microsoft.Network/virtualNetworks/write
Microsoft Resources - Microsoft.Resources/subscriptions/resourcegroups/delete
- Microsoft.Resources/subscriptions/resourcegroups/read
- Microsoft.Resources/subscriptions/resourcegroups/write
Microsoft Storage - Microsoft.Storage/storageAccounts/delete
- Microsoft.Storage/storageAccounts/read
-
Microsoft.Storage/storageAccounts/write
-
Por lo general, Microsoft.Storage/storageAccounts/listKeys/action no es necesaria, pero puede que los usuarios la necesiten para ver las cuentas de almacenamiento.
Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.web/sites/functions/masterkey/read
- Configuración de la extensibilidad basada en acciones
Si utiliza Microsoft Azure con extensibilidad basada en acciones, se requieren los siguientes permisos (además de los permisos mínimos).
Ajuste Selección Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/*/action
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.Web/sites/functions/masterkey/read
- Microsoft.Web/apimanagementaccounts/apis/read
Autorización de Microsoft - Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Microsoft Insights - Microsoft.Insights/Components/Read
- Microsoft.Insights/Components/Write
- Microsoft.Insights/Components/Query/Read
Si se asigna la propiedad
Storage account public access should be disallowed
a un grupo de recursos con el tipo de efectoDeny
, se impide la creación automática de cuentas de almacenamiento para acciones de extensibilidad. En este caso, las acciones de extensibilidad no se pueden ejecutar si el proveedor FaaS está establecido en Selección automática. Debe establecer manualmente el proveedor FaaS como Microsoft Azure y configurar la cuenta de almacenamiento y el grupo de recursos. - Configuración de la extensibilidad basada en acciones con extensiones
Si utiliza Microsoft Azure con la extensibilidad basada en acciones con extensiones, también se requieren los siguientes permisos.
Ajuste Selección Microsoft.Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
Para obtener información relacionada sobre la creación de una cuenta de nube de Microsoft Azure, consulte Configurar Microsoft Azure.
Credenciales de la cuenta de nube Google Cloud Platform (GCP)
En esta sección, se describen las credenciales requeridas para agregar una cuenta de nube de Google Cloud Platform.
La cuenta de nube de Google Cloud Platform interactúa con el motor de proceso de Google Cloud Platform.
Se requieren las credenciales de propietario y administrador del proyecto para crear y validar cuentas de nube de Google Cloud Platform.
Si utiliza un proxy de Internet HTTP externo, debe configurarlo para IPv4.
El servicio del motor de proceso debe estar habilitado. Al crear la cuenta de nube en vRealize Automation, utilice la cuenta de servicio que se creó al inicializar el motor de proceso.
Ajuste | Selección |
---|---|
roles/compute.admin |
Proporciona un control total sobre todos los recursos del motor de proceso. |
roles/iam.serviceAccountUse |
Proporciona acceso a los usuarios que administran instancias de máquinas virtuales configuradas para ejecutarse como una cuenta de servicio. Concede acceso a los siguientes recursos y servicios:
|
roles/compute.imageUser |
Proporciona permiso para enumerar y leer imágenes sin tener otros permisos sobre la imagen. La concesión de la función compute.imageUser en el nivel de proyecto ofrece a los usuarios la posibilidad de enumerar todas las imágenes del proyecto. También permite que los usuarios creen recursos, como instancias y discos persistentes, en función de las imágenes del proyecto.
|
roles/compute.instanceAdmin |
Proporciona permisos para crear, modificar y eliminar instancias de máquinas virtuales. Esto incluye los permisos para crear, modificar y eliminar discos, así como para configurar opciones de VMBETA blindadas. Para los usuarios que administran instancias de máquinas virtuales (pero no opciones de red o de seguridad ni instancias que se ejecutan como cuentas de servicio), conceda esta función a la organización, a la carpeta o al proyecto que contengan las instancias, o a las instancias individuales. Los usuarios que administran instancias de máquinas virtuales configuradas para ejecutarse como una cuenta de servicio también necesitan la función roles/iam.serviceAccountUser.
|
roles/compute.instanceAdmin.v1 |
Proporciona un control total sobre las instancias del motor de proceso, los grupos de instancias, los discos, las instantáneas y las imágenes. También proporciona acceso de lectura a todos los recursos de redes del motor de proceso.
Nota: Si concede esta función a un usuario en el nivel de instancia, ese usuario no podrá crear instancias nuevas.
|
Credenciales de cuenta de nube de NSX-T
En esta sección se describen las credenciales requeridas para agregar una cuenta de nube de NSX-T.
- Dirección IP o FQDN de NSX-T
- NSX-T Data Center: función de administrador empresarial y credenciales de acceso
La función de auditor es obligatoria.
Categoría/Subcategoría | Permiso |
---|---|
Redes - Puertas de enlace de nivel 0 | Solo lectura |
Redes - Puertas de enlace de nivel 0 -> OSPF | Ninguna |
Redes - Puertas de enlace de nivel 1 | Acceso completo |
Redes - Segmentos | Acceso completo |
Redes - VPN | Ninguna |
Redes - NAT | Acceso completo |
Redes - Equilibrio de carga | Acceso completo |
Redes - Directiva de reenvío | Ninguna |
Redes - Estadísticas | Ninguna |
Redes - DNS | Ninguna |
Redes - DHCP | Acceso completo |
Redes - Grupos de direcciones IP | Ninguna |
Redes - Perfiles de red | Solo lectura |
Seguridad - Detección y respuesta a amenazas | Ninguna |
Seguridad - Firewall distribuido | Acceso completo |
Seguridad - IDS/IPS y Prevención de malware | Ninguna |
Seguridad - Inspección de TLS | Ninguna |
Seguridad - Firewall de identidad | Ninguna |
Seguridad - Firewall de puerta de enlace | Ninguna |
Seguridad - Administración de cadena de servicios | Ninguna |
Seguridad - Ventana de tiempo de firewall | Ninguna |
Seguridad - Perfiles | Ninguna |
Seguridad - Perfiles de servicio | Ninguna |
Seguridad - Configuración de firewall | Acceso completo |
Seguridad - Configuración de seguridad de puerta de enlace | Ninguna |
Inventario | Acceso completo |
Solución de problemas | Ninguna |
Sistema | Ninguna |
Los administradores también necesitan acceso a la instancia de vCenter, como se describe en la sección Credenciales de cuenta de nube de vCenter de este tema.
Credenciales de cuenta de nube de NSX-V
En esta sección se describen las credenciales requeridas para agregar una cuenta de nube de NSX-V.
- Función de administrador empresarial de NSX-V y credenciales de acceso
- Dirección IP o FQDN de NSX-V
Los administradores también necesitan acceso a vCenter como se describe en la sección Agregar una cuenta de nube de vCenter de esta tabla.
Credenciales de la cuenta de nube de VMware Cloud Director (vCD)
En esta sección, se describen las credenciales requeridas para agregar una cuenta de nube de VMware Cloud Director (vCD).
Ajuste | Selección |
---|---|
Acceder a todos los vDC de organización | Todos |
Catálogo |
|
General |
|
Entrada de archivo de metadatos | Crear/modificar |
Red de organización |
|
Puerta de enlace de vDC de organización |
|
vDC de organización |
|
Organización |
|
Capacidades de las directivas de cuota | Ver |
Plantilla de vDC |
|
Medio/plantilla de vApp |
|
Plantilla de vApp |
|
vApp |
|
Grupo de vDC |
|
Credenciales de integración de vRealize Operations Manager
En esta sección se describen las credenciales requeridas para la integración con vRealize Operations Manager. Tenga en cuenta que estas credenciales se establecen y configuran en vRealize Operations Manager, no en vRealize Automation.
Proporcione una cuenta de inicio de sesión local o no local para vRealize Operations Manager con los siguientes privilegios de lectura.
- Instancia de adaptador Adaptador de vCenter > Instancia de adaptador de VC para vCenter-FQDN
Es posible que primero se deba importar la cuenta no local para poder asignar su función de solo lectura.
Integración de NSX con Microsoft Azure VMware Solution (AVS) para vRealize Automation
Para obtener información sobre la conexión de NSX ejecutándose en Microsoft Azure VMware Solution (AVS) para vRealize Automation, incluida la configuración de funciones personalizadas, consulte los permisos de usuario CloudAdmin de NSX-T Data Center en la documentación de producto de Microsoft.