セキュリティ対策として、VMware Cloud Foundation インスタンス内のコンポーネントのパスワードをローテーションできます。パスワード ローテーションのプロセスでは、選択したアカウントに対してランダム化されたパスワードが生成されます。SDDC Manager によって管理されるアカウントのパスワードを手動でローテーションしたり、自動ローテーションを設定したりすることができます。
次のアカウントのパスワードをローテーションできます。
- ESXi
注: 自動ローテーションは、ESXi ではサポートされません。
- vCenter Server
デフォルトでは、vCenter Server の root パスワードは 90 日後に有効期限が切れます。
注: 自動ローテーションは、vCenter Server サービス アカウントに対して自動的に有効になります。新しく展開された vCenter Server のサービス アカウント自動ローテーション ポリシーを構成するには、最大 24 時間かかることがあります。 - vSphere Single Sign-On (PSC)
- NSX Edge ノード
- NSX Manager
- vRealize Suite Lifecycle Manager
- vRealize Log Insight
- vRealize Operations
- vRealize Automation
- Workspace ONE Access
注: Workspace ONE Access パスワードの場合、パスワードのローテーション方法はユーザー アカウントによって異なります。詳細については、次の表を参照してください。
- SDDC Manager バックアップ ユーザー
Workspace ONE Access ユーザー アカウント |
vRealize Suite Lifecycle Manager Locker エントリ |
パスワードのローテーション方法 |
パスワードのローテーションの範囲 |
---|---|---|---|
admin (443) |
xint-wsa-admin |
SDDC Manager パスワードのローテーション |
アプリケーション |
admin (8443) |
xint-wsa-admin |
vRealize Suite Lifecycle Manager グローバル環境 |
ノード単位 |
configadmin (443) |
xint-wsa-configadmin |
|
アプリケーション |
sshuser |
global-env-admin |
vRealize Suite Lifecycle Manager グローバル環境 |
ノード単位 |
root (ssh) |
xint-wsa-root |
SDDC Manager パスワードのローテーション |
ノード単位 |
- 長さ 20 文字
- 少なくとも 1 つの大文字、1 つの数字、さらに ! @ # $ ^ * の特殊文字の 1 つ
- 同じ文字が連続して 2 文字以下
vSphere Client を使用して vCenter Server パスワードの長さを変更したり、VMware Host Client を使用して ESXi パスワードの長さを変更した場合、SDDC Manager からこれらのコンポーネントのパスワードをローテーションすると、指定したパスワードの長さに準拠するパスワードが生成されます。
SDDC Manager の root ユーザー、スーパー ユーザー、および API のパスワードを更新する場合は、SDDC Manager のパスワードの更新を参照してください。
前提条件
- SDDC Manager 内に現在失敗しているワークフローがないことを確認します。失敗したワークフローを確認するには、ナビゲーション ペインで [ダッシュボード] をクリックし、画面の下部にある [タスク] ペインを展開します。
- パスワード ローテーションのプロセスが実行されている短い時間の間に、アクティブなワークフローが実行されていないこと、または実行がスケジュール設定されていないことを確認します。パスワードのローテーションは、実行中のワークフローがないことが予想される時間に行うようにスケジュール設定することをお勧めします。
- このタスクを実行できるのは、管理者ロールを持つユーザーのみです。