組織の要件に従って、VMware Cloud Foundation のアクセス制御、証明書、およびアカウントの管理を設計します。

VMware Cloud Foundation のアクセス管理

VMware Cloud Foundation のアクセス管理は、業界標準および組織の要件に従って設計します。

コンポーネント

アクセス方法

追加情報

SDDC Manager

  • ユーザー インターフェイス

  • API

  • SSH

SSH はデフォルトでアクティブになっています。root ユーザー アクセスは無効です。

NSX ローカル マネージャ

  • ユーザー インターフェイス

  • API

  • SSH

SSH はデフォルトで無効になっています。

NSX Edge

  • API

  • SSH

SSH はデフォルトで無効になっています。

NSX グローバル マネージャ

  • ユーザー インターフェイス

  • API

  • SSH

SSH 設定は展開時に定義されます。

vCenter Server

  • ユーザー インターフェイス

  • API

  • SSH

  • VAMI

SSH はデフォルトでアクティブになっています。

ESXi

  • ダイレクト コンソール ユーザー インターフェイス (DCUI)

  • ESXi Shell

  • SSH

  • VMware Host Client

SSH および ESXi Shell は、デフォルトで無効になっています。

vRealize Suite Lifecycle Manager

  • ユーザー インターフェイス

  • API

  • SSH

SSH はデフォルトでアクティブになっています。

Workspace ONE Access

  • ユーザー インターフェイス

  • API

  • SSH

SSH はデフォルトでアクティブになっています。

VMware Cloud Foundation のアカウント管理の設計

業界標準および組織の要件に従って、VMware Cloud Foundation のアカウント管理を設計します。

パスワード管理方法

SDDC Manager は、VMware Cloud Foundation インスタンスに含まれるコンポーネントのパスワードのライフサイクルを管理します。パスワード ライフサイクルを管理するための複数の方法がサポートされています。

表 1. VMware Cloud Foundation のパスワード管理方法

方法

説明

ローテーション

自動生成されたパスワードを使用して 1 つ以上のアカウントを更新します

更新

手動で入力したパスワードを使用して 1 つのアカウントのパスワードを更新します

修正

コンポーネントで手動で設定されたパスワードを使用して、単一のアカウントを調整します。

スケジュール

選択した 1 つ以上のアカウントの自動ローテーションをスケジュール設定します。

手動

コンポーネントでパスワードを手動で直接更新します。

アカウントとパスワード管理

VMware Cloud Foundation は、複数のタイプのインタラクティブ アカウント、ローカル アカウント、サービス アカウントで構成されます。各アカウントには異なる属性があり、次の方法で管理できます。

パスワードの複雑さ、アカウントのロックアウト、または追加の ID プロバイダとの統合の詳細については、「VMware Cloud Foundation のための ID およびアクセス管理」を参照してください。

表 2. VMware Cloud Foundation でのアカウントとパスワードの管理

コンポーネント

ユーザー アカウント

パスワードの管理

追加情報

SDDC Manager

admin@local

  • SDDC Manager API を使用した手動

  • デフォルトの有効期限:なし

  • ローカル アプライアンス アカウント

  • API アクセス(緊急用アカウント)

vcf

  • OS を使用した手動

  • デフォルトの有効期限:365 日

  • ローカル アプライアンス アカウント

  • OS レベルのアクセス

root

  • OS を使用した手動

  • デフォルトの有効期限:90 日

  • ローカル アプライアンス アカウント

  • OS レベルのアクセス

backup

  • SDDC Manager ユーザー インターフェイスまたは API を使用したローテーション、更新、修正、またはスケジューリング

  • デフォルトの有効期限:365 日

  • ローカル アプライアンス アカウント

  • OS レベルのアクセス

[email protected]

  • SDDC Manager ユーザー インターフェイスまたは API を使用したローテーション、更新、修正、またはスケジューリング

  • デフォルトの有効期限:90 日

  • vCenter Single Sign-On アカウント。

  • アプリケーションおよび API アクセス。

  • パスワードの手動ローテーションを実行するには、追加の VMware Cloud Foundation管理者アカウントが必要です。

NSX ローカル マネージャ

admin

  • SDDC Manager ユーザー インターフェイスまたは API を使用したローテーション、更新、修正、またはスケジューリング

  • デフォルトの有効期限:90 日

  • ローカル アプライアンス アカウント

  • OS レベル、API、およびアプリケーション アクセス

root

  • SDDC Manager ユーザー インターフェイスまたは API を使用したローテーション、更新、修正、またはスケジューリング

  • デフォルトの有効期限:90 日

  • ローカル アプライアンス アカウント

  • OS レベルのアクセス

audit

  • SDDC Manager ユーザー インターフェイスまたは API を使用したローテーション、更新、修正、またはスケジューリング

  • デフォルトの有効期限:90 日

  • ローカル アプライアンス アカウント

  • OS レベルのアクセス

  • 読み取り専用アプリケーション レベルのアクセス

NSX Edge

admin

  • SDDC Manager ユーザー インターフェイスまたは API を使用したローテーション、更新、修正、またはスケジューリング

  • デフォルトの有効期限:90 日

  • ローカル アプライアンス アカウント

  • OS レベル、API、およびアプリケーション アクセス

root

  • SDDC Manager ユーザー インターフェイスまたは API を使用したローテーション、更新、修正、またはスケジューリング

  • デフォルトの有効期限:90 日

  • ローカル アプライアンス アカウント

  • OS レベルのアクセス

audit

  • SDDC Manager ユーザー インターフェイスまたは API を使用したローテーション、更新、修正、またはスケジューリング

  • デフォルトの有効期限:90 日

  • ローカル アプライアンス アカウント

  • OS レベルのアクセス

  • 読み取り専用アプリケーション レベルのアクセス

NSX グローバル マネージャ

admin

  • NSX グローバル マネージャ ユーザー インターフェイスまたは API を使用した手動

  • デフォルトの有効期限:90 日

  • ローカル アプライアンス アカウント

  • OS レベル、API、およびアプリケーション アクセス

root

  • 各 NSX グローバル マネージャ アプライアンスを使用した手動

  • デフォルトの有効期限:90 日

  • ローカル アプライアンス アカウント

  • OS レベルのアクセス

audit

  • NSX グローバル マネージャ ユーザー インターフェイスまたは API を使用した手動

  • デフォルトの有効期限:90 日

  • ローカル アプライアンス アカウント

  • OS レベルのアクセス

  • 読み取り専用アプリケーション レベルのアクセス

vCenter Server

root

  • SDDC Manager ユーザー インターフェイスまたは API を使用したローテーション、更新、修正、またはスケジューリング

  • デフォルトの有効期限:90 日

  • ローカル アプライアンス アカウント

  • OS レベルのアクセス

  • VAMI アクセス

[email protected]

  • SDDC Manager ユーザー インターフェイスまたは API を使用したローテーション、更新、修正、またはスケジューリング

  • デフォルトの有効期限:90 日

  • vCenter Single Sign-On アカウント。

  • アプリケーションおよび API アクセス。

  • 隔離されたワークロード ドメインに関連

svc-nsx-manager-hostname-vcenter-server-hostname

  • システム管理。

  • デフォルトでは 30 日ごとに自動ローテーション

  • デフォルトの有効期限:なし

NSX Manager と vCenter Server 間のサービス アカウント

svc-vrslcm-hostname-vccenter-server-hostname

  • システム管理

  • デフォルトでは 30 日ごとに自動ローテーション

  • デフォルトの有効期限:なし

vRealize Suite Lifecycle Manager と vCenter Server 間のサービス アカウント

ESXi

root

  • SDDC Manager ユーザー インターフェイスまたは API を使用したローテーション、更新、修正、またはスケジューリング

  • デフォルトの有効期限:99999(なし)

手動

svc-vcf-esxi-hostname

  • SDDC Manager ユーザー インターフェイスまたは API を使用したローテーション、更新、修正、またはスケジューリング

  • デフォルトの有効期限:99999(なし)

SDDC Manager と ESXi ホスト間のサービス アカウント

vRealize Suite Lifecycle Manager

vcfadmin@local

  • SDDC Manager ユーザー インターフェイスまたは API を使用したローテーション、更新、修正、またはスケジューリング

  • デフォルトの有効期限:なし

API およびアプリケーション アクセス

root

  • SDDC Manager ユーザー インターフェイスまたは API を使用したローテーション、更新、修正、またはスケジューリング

  • デフォルトの有効期限:365 日

  • ローカル アプライアンス アカウント

  • OS レベルのアクセス

Workspace ONE Access

root

  • SDDC Manager ユーザー インターフェイスまたは API を使用したローテーション、更新、修正、またはスケジューリング

  • デフォルトの有効期限:60 日

  • ローカル アプライアンス アカウント

  • OS レベルのアクセス

sshuser

  • vRealize Suite Lifecycle Manager によって管理

  • デフォルトの有効期限:60 日

  • ローカル アプライアンス アカウント

  • OS レベルのアクセス

admin(ポート 8443)

vRealize Suite Lifecycle Manager によって管理

システム管理者

管理者(ポート 443)

  • SDDC Manager ユーザー インターフェイスまたは API を使用したローテーション、更新、修正、またはスケジューリング

  • デフォルトの有効期限:なし

デフォルトのアプリケーション管理者

configadmin

  • configadmin ユーザーのパスワード ローテーション スケジュールを管理するには、Workspace ONE Access と vRealize Suite Lifecycle Manager の両方を使用する必要があります。

  • デフォルトの有効期限:なし

アプリケーションの構成管理者

アカウント管理設計の推奨事項

アカウント管理の設計では、特定のベスト プラクティスを適用できます。

表 3. VMware Cloud Foundation でのアカウントとパスワード管理の設計の要件

推奨 ID

設計の推奨事項

理由

影響

VCF-ACTMGT-REQD-SEC-001

スケジュール設定されたローテーションをサポートするすべてのアカウントで、SDDC Manager でスケジュール設定されたパスワード ローテーションを有効にします。

  • SDDC のセキュリティ状態が向上します。

  • SDDC 管理コンポーネント全体でパスワード管理を簡素化します。

アカウントをインタラクティブに使用する必要がある場合は、API を使用して新しいパスワードを取得する必要があります。

VCF-ACTMGT-REQD-SEC-003

SDDC Manager のスケジュール設定されたローテーションをサポートしていないコンポーネントで、SDDC Manager を使用してパスワードをローテーションする運用方法を確立します。

パスワードをローテーションし、それらのユーザー アカウントの SDDC Manager データベースを自動的に修正します。

なし。

VCF-ACTMGT-REQD-SEC-003

SDDC Manager によってローテーションできないコンポーネントで、パスワードを手動でローテーションする運用方法を確立します。

SDDC Manager のパスワード管理で処理されないコンポーネント間でパスワード ポリシーを維持します。

なし。

VMware Cloud Foundation の証明書管理

VMware Cloud Foundation の証明書管理は、業界標準および組織の要件に従って設計します。

管理コンポーネント インターフェイスへのすべてのアクセスは、Secure Socket Layer (SSL) 接続を介して行う必要があります。展開時、各コンポーネントにはデフォルトの署名 CA からの証明書が割り当てられます。各コンポーネントへの安全なアクセスを実現するには、デフォルトの証明書を、信頼できる CA 署名付きエンタープライズ証明書に置き換えます。

表 4. VMware Cloud Foundation での証明書の管理

コンポーネント

デフォルトの署名 CA

CA 署名付きエンタープライズ証明書のライフサイクル

SDDC Manager

管理ドメイン VMCA

SDDC Manager の使用

NSX ローカル マネージャ

管理ドメイン VMCA

SDDC Manager の使用

NSX Edge

該当なし

該当なし

NSX グローバル マネージャ

自己署名済み

手動

vCenter Server

ローカル ワークロード ドメイン VMCA

SDDC Manager の使用

ESXi

ローカル ワークロード ドメイン VMCA

手動*

vRealize Suite Lifecycle Manager

管理ドメイン VMCA

SDDC Manager の使用

注:

* ESXi で CA 署名付きエンタープライズ証明書を使用するには、信頼済みルート証明書を提供する API を使用して、VMware Cloud Foundation の初期展開を行う必要があります。

表 5. VMware Cloud Foundation の証明書管理設計の推奨事項

推奨 ID

設計の推奨事項

理由

影響

VCF-SDDC-RCMD-SEC-001

すべての管理仮想アプライアンスにあるデフォルトの VMCA 署名付き証明書を、内部認証局によって署名された証明書に置き換えます。

すべての管理コンポーネントとの通信が安全であることを確認します。

デフォルトの証明書を認証局からの信頼済み CA 署名付き証明書に置き換える場合は、証明書要求の生成と送信が必要になるため、展開の準備にかかる時間が長くなる場合があります。

VCF-SDDC-RCMD-SEC-002

署名付き証明書には SHA-2 以上のアルゴリズムを使用します。

SHA-1 アルゴリズムは安全性が低いと見なされるため、廃止されました。

すべての認証局が SHA-2 以上をサポートしているわけではありません。

VCF-SDDC-RCMD-SEC-003

SDDC Manager を使用して、すべての管理アプライアンスの SSL 証明書ライフサイクル管理を実行します。

SDDC Manager は、手動による一連の手順の代わりに、SSL 証明書のライフサイクル管理の自動化をサポートします。

NSX グローバル マネージャ インスタンスの証明書管理は手動で行う必要があります。