Conditions préalables et privilèges requis pour l'autorité d'approbation vSphere

Vous devez tenir compte de la configuration matérielle et logicielle requise pour configurer Autorité d'approbation vSphere . Vous devez définir des privilèges de chiffrement et des rôles pour utiliser le chiffrement. L'utilisateur qui exécute les tâches Autorité d'approbation vSphere doit disposer des privilèges appropriés.

Conditions requises pour Autorité d'approbation vSphere

Pour utiliser Autorité d'approbation vSphere , votre environnement vSphere doit répondre aux exigences suivantes :

Configuration matérielle requise pour l'hôte approuvé ESXi :
- TPM 2.0
- Le démarrage sécurisé doit être activé
- Micrologiciel EFI

Configuration requise pour le composant :
- vCenter Server 7.0 ou une version ultérieure
- Un système vCenter Server dédié pour le cluster d'autorité d'approbation vSphere et les hôtes ESXi
- Un système vCenter Server distinct pour le cluster approuvé et les hôtes ESXi approuvés
- Un serveur de clés (appelé serveur de gestion des clés ou KMS dans les versions antérieures de vSphere)
Configuration requise pour la machine virtuelle :
- Micrologiciel EFI
- Démarrage sécurisé activé

Note : Avant de pouvoir commencer à configurer Autorité d'approbation vSphere , assurez-vous d'avoir configuré vos systèmes vCenter Server pour le cluster autorité d'approbation et le cluster approuvé et ajouté des hôtes ESXi à chaque cluster.

Autorité d'approbation vSphere et privilèges de chiffrement

Autorité d'approbation vSphere n'introduit aucun nouveau privilège de chiffrement. Les mêmes privilèges de chiffrement décrits dans Utilisation des privilèges de chiffrement et des rôles s'appliquent à Autorité d'approbation vSphere .

Autorité d'approbation vSphere et mode de chiffrement de l'hôte

Autorité d'approbation vSphere n'introduit aucune nouvelle configuration requise pour l'activation du mode de chiffrement de l'hôte sur les hôtes approuvés ESXi. Pour plus d'informations sur le mode de chiffrement de l'hôte, consultez Conditions préalables et privilèges requis pour les tâches de chiffrement des machines virtuelles.

Utilisation des rôles de Autorité d'approbation vSphere et du groupe TrustedAdmins

Les opérations de Autorité d'approbation vSphere nécessitent un utilisateur membre du groupe TrustedAdmins. Cet utilisateur est appelé administrateur de l'autorité d'approbation. Les administrateurs vSphere doivent s'ajouter eux-mêmes au groupe TrustedAdmins ou ajouter d'autres utilisateurs au groupe pour obtenir le rôle d'administrateur d'infrastructure approuvée. Le rôle d'administrateur d'infrastructure approuvée est nécessaire pour l'autorisation de vCenter Server. Le groupe TrustedAdmins est nécessaire pour l'authentification sur les hôtes ESXi faisant partie de l'infrastructure approuvée. Les utilisateurs ayant le privilège Opérations de chiffrement.Enregistrer l'hôte sur les hôtes ESXi peuvent gérer le cluster approuvé. Les autorisations vCenter Server ne sont pas propagées aux hôtes d'autorité d'approbation, mais uniquement aux hôtes approuvés. Seuls les membres du groupe TrustedAdmins disposent de privilèges sur les hôtes d'autorité d'approbation. L'appartenance au groupe est vérifiée sur l'hôte ESXi lui-même.

Note : Le rôle d'administrateur d'infrastructure approuvée est attribué aux administrateurs vSphere et aux membres du groupe Administrateurs, mais ce rôle n'autorise pas un utilisateur à effectuer des opérations de Autorité d'approbation vSphere . L'appartenance au groupe TrustedAdmins est également requise.

Une fois Autorité d'approbation vSphere activé, les administrateurs d'autorité d'approbation peuvent attribuer des fournisseurs de clés approuvés à des hôtes approuvés. Ces hôtes approuvés peuvent ensuite utiliser les fournisseurs de clés approuvés pour effectuer des tâches de chiffrement.

En plus du rôle d'administrateur d'infrastructure approuvée, Autorité d'approbation vSphere fournit le rôle Administrateur sans droits sur l'infrastructure approuvée, qui contient tous les privilèges dans vCenter Server à l'exception de ceux qui appellent les API de Autorité d'approbation vSphere .

Les groupes, les rôles et les utilisateurs de Autorité d'approbation vSphere fonctionnent de la manière suivante :

Lors du premier démarrage, vSphere accorde au groupe TrustedAdmins le rôle Administrateur d'infrastructure approuvée, qui dispose des autorisations globales.
Le rôle Administrateur d'infrastructure approuvée est un rôle système qui dispose des privilèges requis pour appeler les API de Autorité d'approbation vSphere (TrustedAdmin.*) et les privilèges système System.Read, System.View et System.Anonymous pour afficher les objets d'inventaire.
Le rôle d'administrateur sans droits sur l'infrastructure approuvée est un rôle système qui contient tous les privilèges dans vCenter Server à l'exception de ceux nécessaires pour appeler les API de Autorité d'approbation vSphere . L'ajout de nouveaux privilèges à vCenter Server les ajoute également au rôle Administrateur sans droits sur l'infrastructure approuvée. (Le rôle Administrateur sans droits sur l'infrastructure approuvée est similaire au rôle Administrateur sans droits de chiffrement.)
Les privilèges de Autorité d'approbation vSphere (les API TrustedAdmin.*) ne sont pas inclus dans le rôle Administrateur sans droits de chiffrement, ce qui empêche les utilisateurs disposant de ce rôle de configurer une infrastructure approuvée ou d'effectuer des opérations de chiffrement.

Les cas d'utilisation de ces utilisateurs, groupes et rôles sont présentés dans le tableau suivant.

Tableau 1. Utilisateurs, groupes et rôles de l'autorité d'approbation vSphere
Utilisateur, groupe ou rôle	Peut appeler l'API de Autorité d'approbation vSphere vCenter Server (inclut les appels à l'API de Autorité d'approbation vSphere ESXi)	Peut appeler l'API de Autorité d'approbation vSphere vCenter Server (n'inclut pas les appels à l'API de Autorité d'approbation vSphere ESXi)	Peut effectuer des opérations d'hôte dans un cluster non lié à Autorité d'approbation vSphere	Commentaire
Utilisateur dans le groupe Administrators@`system.domain` et le groupe TrustedAdmins@`system.domain`	Oui	Oui	Oui	S/O
Utilisateur dans le groupe TrustedAdmins@`system.domain` uniquement	Oui	Oui	Non	Ce type d'utilisateur ne peut pas effectuer d'opérations de gestion de cluster standard.
Utilisateur dans le groupe Administrators@`system.domain` uniquement	Oui	Non	Oui	S/O
Utilisateur disposant du rôle d'administrateur d'infrastructure approuvée, mais ne faisant pas partie du groupe TrustedAdmins@`system.domain`	Oui	Non	Non	L'hôte ESXi vérifie l'appartenance au groupe de l'utilisateur pour accorder les autorisations.
Utilisateur disposant du rôle d'administrateur sans droits sur l'infrastructure approuvée	Non	Non	Oui	Ce type d'utilisateur est semblable à un administrateur qui ne peut pas effectuer d'opérations de Autorité d'approbation vSphere .