Le système CIM (Modèle de données unifié, Common Information Model) fournit une interface permettant la gestion au niveau du matériel à partir d'applications distantes utilisant un ensemble d'API standard. Pour assurer la sécurisation de l'interface CIM, ne fournissez que le niveau d'accès minimal nécessaire à ces applications. Si une application, qui a été provisionnée avec un compte racine ou un compte administrateur complet, est compromise, l'ensemble de l'environnement virtuel peut l'être aussi.

Pourquoi et quand exécuter cette tâche

Le modèle CIM est une norme ouverte qui définit une architecture pour la surveillance des ressources matérielles sans agent et basée sur des règles pour ESXi. Cette structure se compose d'un gestionnaire d'objet CIM, généralement appelé courtier CIM, et d'un ensemble de fournisseurs CIM.

Les fournisseurs CIM sont utilisés comme mécanisme pour fournir un accès de gestion aux pilotes de périphériques et au matériel sous-jacent. Les fabricants de matériel, notamment les fabricants de serveurs et les fournisseurs de périphériques spécifiques, peuvent créer ce type de fournisseurs afin d'assurer la surveillance et la gestion de leurs périphériques spécifiques. VMware crée également des fournisseurs qui mettent en œuvre la surveillance du matériel serveur, l'infrastructure de stockage ESXi et des ressources spécifiques à la virtualisation. Ces fournisseurs s'exécutent au sein même du système ESXi. Ils sont donc conçus pour être extrêmement légers et dédiés à des tâches de gestion spécifiques. Le courtier CIM recueille des informations auprès de tous les fournisseurs CIM et les diffuse à l'extérieur par le biais d'API standards, la plus commune d'entre elles étant WS-MAN.

Ne fournissez pas aux applications distantes des informations d'identification racine permettant d'accéder à l'interface CIM. Créez plutôt un compte de service spécifique à ces applications et accordez un accès en lecture seule aux informations CIM à tous les comptes locaux définis sur le système ESXi, ainsi qu'à tous les rôles définis dans vCenter Server.

Procédure

  1. Créez un compte de service spécifique aux applications CIM.
  2. Accordez un accès en lecture seule aux informations CIM à tous les comptes locaux définis sur le système ESXi, ainsi qu'à tous les rôles définis dans vCenter Server.
  3. (Facultatif) : Si l'application requiert un accès en écriture à l'interface CIM, créez un rôle s'appliquant au compte de service avec seulement deux privilèges :
    • Hôte > Config > SystemManagement (Gestion du système)

    • Hôte > CIM > CIMInteraction (Interaction CIM)

    Ce rôle peut être local pour l'hôte ou défini centralement sur vCenter Server, selon le mode de fonctionnement de l'application de contrôle.

Résultats

Lorsqu'un utilisateur se connecte à l'hôte avec le compte de service créé pour les applications CIM, l'utilisateur dispose uniquement des privilèges SystemManagement (Gestion du système) et CIMInteraction (Interaction CIM) ou d'un accès en lecture seule.