Vous devez tenir compte de la configuration matérielle et logicielle requise pour configurer Autorité d'approbation vSphere . Vous devez définir des privilèges de chiffrement et des rôles pour utiliser le chiffrement. L'utilisateur qui exécute les tâches Autorité d'approbation vSphere doit disposer des privilèges appropriés.
Conditions requises pour Autorité d'approbation vSphere
Pour utiliser Autorité d'approbation vSphere , votre environnement vSphere doit répondre aux exigences suivantes :
- Configuration matérielle requise pour l'hôte approuvé ESXi :
- TPM 2.0
- Le démarrage sécurisé doit être activé
- Micrologiciel EFI
- Configuration requise pour le composant :
- vCenter Server 7.0 ou une version ultérieure
- Un système vCenter Server dédié pour le cluster d'autorité d'approbation vSphere et les hôtes ESXi
- Un système vCenter Server distinct pour le cluster approuvé et les hôtes ESXi approuvés
- Un serveur de clés (appelé serveur de gestion des clés ou KMS dans les versions antérieures de vSphere)
- Configuration requise pour la machine virtuelle :
- Micrologiciel EFI
- Démarrage sécurisé activé
Autorité d'approbation vSphere et privilèges de chiffrement
Autorité d'approbation vSphere n'introduit aucun nouveau privilège de chiffrement. Les mêmes privilèges de chiffrement décrits dans Utilisation des privilèges de chiffrement et des rôles s'appliquent à Autorité d'approbation vSphere .
Autorité d'approbation vSphere et mode de chiffrement de l'hôte
Autorité d'approbation vSphere n'introduit aucune nouvelle configuration requise pour l'activation du mode de chiffrement de l'hôte sur les hôtes approuvés ESXi. Pour plus d'informations sur le mode de chiffrement de l'hôte, consultez Conditions préalables et privilèges requis pour les tâches de chiffrement des machines virtuelles.
Utilisation des rôles de Autorité d'approbation vSphere et du groupe TrustedAdmins
Les opérations de Autorité d'approbation vSphere nécessitent un utilisateur membre du groupe TrustedAdmins. Cet utilisateur est appelé administrateur de l'autorité d'approbation. Les administrateurs vSphere doivent s'ajouter eux-mêmes au groupe TrustedAdmins ou ajouter d'autres utilisateurs au groupe pour obtenir le rôle d'administrateur d'infrastructure approuvée. Le rôle d'administrateur d'infrastructure approuvée est nécessaire pour l'autorisation de vCenter Server. Le groupe TrustedAdmins est nécessaire pour l'authentification sur les hôtes ESXi faisant partie de l'infrastructure approuvée. Les utilisateurs ayant le privilège sur les hôtes ESXi peuvent gérer le cluster approuvé. Les autorisations vCenter Server ne sont pas propagées aux hôtes d'autorité d'approbation, mais uniquement aux hôtes approuvés. Seuls les membres du groupe TrustedAdmins disposent de privilèges sur les hôtes d'autorité d'approbation. L'appartenance au groupe est vérifiée sur l'hôte ESXi lui-même.
Une fois Autorité d'approbation vSphere activé, les administrateurs d'autorité d'approbation peuvent attribuer des fournisseurs de clés approuvés à des hôtes approuvés. Ces hôtes approuvés peuvent ensuite utiliser les fournisseurs de clés approuvés pour effectuer des tâches de chiffrement.
En plus du rôle d'administrateur d'infrastructure approuvée, Autorité d'approbation vSphere fournit le rôle Administrateur sans droits sur l'infrastructure approuvée, qui contient tous les privilèges dans vCenter Server à l'exception de ceux qui appellent les API de Autorité d'approbation vSphere .
Les groupes, les rôles et les utilisateurs de Autorité d'approbation vSphere fonctionnent de la manière suivante :
- Lors du premier démarrage, vSphere accorde au groupe TrustedAdmins le rôle Administrateur d'infrastructure approuvée, qui dispose des autorisations globales.
- Le rôle Administrateur d'infrastructure approuvée est un rôle système qui dispose des privilèges requis pour appeler les API de Autorité d'approbation vSphere (TrustedAdmin.*) et les privilèges système System.Read, System.View et System.Anonymous pour afficher les objets d'inventaire.
- Le rôle d'administrateur sans droits sur l'infrastructure approuvée est un rôle système qui contient tous les privilèges dans vCenter Server à l'exception de ceux nécessaires pour appeler les API de Autorité d'approbation vSphere . L'ajout de nouveaux privilèges à vCenter Server les ajoute également au rôle Administrateur sans droits sur l'infrastructure approuvée. (Le rôle Administrateur sans droits sur l'infrastructure approuvée est similaire au rôle Administrateur sans droits de chiffrement.)
- Les privilèges de Autorité d'approbation vSphere (les API TrustedAdmin.*) ne sont pas inclus dans le rôle Administrateur sans droits de chiffrement, ce qui empêche les utilisateurs disposant de ce rôle de configurer une infrastructure approuvée ou d'effectuer des opérations de chiffrement.
Les cas d'utilisation de ces utilisateurs, groupes et rôles sont présentés dans le tableau suivant.
Utilisateur, groupe ou rôle | Peut appeler l'API de Autorité d'approbation vSphere vCenter Server (inclut les appels à l'API de Autorité d'approbation vSphere ESXi) | Peut appeler l'API de Autorité d'approbation vSphere vCenter Server (n'inclut pas les appels à l'API de Autorité d'approbation vSphere ESXi) | Peut effectuer des opérations d'hôte dans un cluster non lié à Autorité d'approbation vSphere | Commentaire |
---|---|---|---|---|
Utilisateur dans le groupe Administrators@system.domain et le groupe TrustedAdmins@system.domain | Oui | Oui | Oui | S/O |
Utilisateur dans le groupe TrustedAdmins@system.domain uniquement | Oui | Oui | Non | Ce type d'utilisateur ne peut pas effectuer d'opérations de gestion de cluster standard. |
Utilisateur dans le groupe Administrators@system.domain uniquement | Oui | Non | Oui | S/O |
Utilisateur disposant du rôle d'administrateur d'infrastructure approuvée, mais ne faisant pas partie du groupe TrustedAdmins@system.domain | Oui | Non | Non | L'hôte ESXi vérifie l'appartenance au groupe de l'utilisateur pour accorder les autorisations. |
Utilisateur disposant du rôle d'administrateur sans droits sur l'infrastructure approuvée | Non | Non | Oui | Ce type d'utilisateur est semblable à un administrateur qui ne peut pas effectuer d'opérations de Autorité d'approbation vSphere . |