CIM (Common Information Model) システムは、一連の標準 API を使用してリモート アプリケーションからハードウェア レベルで管理できるインターフェイスを提供します。CIM インターフェイスのセキュリティを確保するため、これらのアプリケーションには必要最小限のアクセス権のみを付与します。アプリケーションが root または完全な管理者アカウントでプロビジョニングされていて、そのアプリケーションが侵害された場合、仮想環境全体が侵害される可能性があります。

このタスクについて

CIM はオープンな標準で、ESXi でエージェントレス、標準ベースのハードウェア リソース監視を行うフレームワークを定義します。このフレームワークは、CIM オブジェクト マネージャ (通常は CIM ブローカーと呼ばれます) と一連の CIM プロバイダで構成されます。

CIM プロバイダは、デバイス ドライバおよび基盤となるハードウェアへのアクセスを管理するメカニズムとして使用されます。サーバのメーカーや特定のハードウェア デバイス ベンダーを含むハードウェア ベンダーは、特定のデバイスの監視と管理を行うようにプロバイダを記述できます。また、VMware もサーバ ハードウェア、ESXi ストレージ インフラストラクチャ、および仮想化固有のリソースの監視を実装するプロバイダを記述します。これらのプロバイダは ESXi システム内で実行されるため、非常に軽量で特定の管理タスクに重点を置くように設計されています。CIM ブローカーはすべての CIM プロバイダから情報を取得し、標準 API (最も一般的な API は WS-MAN) を使用してその情報を外部に表示します。

CIM インターフェイスにアクセスするリモート アプリケーションには root 認証情報を提供しないでください。代わりに、それらのアプリケーションに固有のサービス アカウントを作成し、ESXi システムで定義されたローカル アカウント、および vCenter Server で定義されたロールに対して CIM 情報への読み取り専用アクセス権を付与します。

手順

  1. CIM アプリケーションに固有のサービス アカウントを作成します。
  2. ESXi システムで定義されたローカル アカウント、および vCenter Server で定義されたロールに対して CIM 情報への読み取り専用アクセス権を付与します。
  3. (オプション) : アプリケーションで CIM インターフェイスへの書き込みアクセス権が必要な場合は、次の 2 つの権限のみをサービス アカウントに適用するロールを作成します。
    • ホスト > 構成 > SystemManagement

    • ホスト > CIM > CIMInteraction

    監視アプリケーションの用途に応じて、このロールはホストのローカルとして作成するか、vCenter Server で一元的に定義することができます。

タスクの結果

CIM アプリケーション用に作成されたサービス アカウントでユーザーがホストにログインした場合、ユーザーには SystemManagement および CIMInteraction、または読み取り専用アクセス権のみが付与されます。