CIM (Common Information Model) システムは、一連の標準 API を使用してリモート アプリケーションからハードウェア レベルで管理できるインターフェイスを提供します。CIM インターフェイスのセキュリティを確保するため、これらのリモート アプリケーションには必要最小限のアクセス権のみを付与します。root または管理者アカウントを使用してリモート アプリケーションをプロビジョニングした場合に、アプリケーションが侵害されると、仮想環境も侵害される恐れがあります。

このタスクについて

CIM はオープンな標準で、ESXi ホストでエージェントレス、標準ベースのハードウェア リソース監視を行うフレームワークを定義します。このフレームワークは、CIM オブジェクト マネージャ (通常は CIM ブローカーと呼ばれます) と一連の CIM プロバイダで構成されます。

CIM プロバイダは、デバイス ドライバと基盤となるハードウェアへの管理アクセスをサポートします。サーバ メーカーやハードウェア デバイス ベンダーなどのハードウェア ベンダーは、自社のデバイスを監視および管理するプロバイダを作成できます。VMware は、サーバ ハードウェア、ESXi ストレージ インフラストラクチャ、および仮想化固有のリソースを監視するプロバイダを作成します。これらのプロバイダは軽量で、特定の管理タスクに特化して ESXi ホスト内で実行されます。CIM ブローカはすべての CIM プロバイダから情報を取得し、標準 API を使用してその情報を外部に開示します。最も一般的な API は WS-MAN です。

CIM インターフェイスにアクセスするリモート アプリケーションには root 認証情報を提供しないでください。代わりに、これらのアプリケーション用のサービス アカウントを作成します。ESXi システムで定義されたローカル アカウント、および vCenter Server で定義されたロールに対して CIM 情報への読み取り専用アクセス権を付与します。

手順

  1. CIM アプリケーション用のサービス アカウントを作成します。
  2. このサービス アカウントに、CIM 情報を収集する ESXi ホストへの読み取り専用アクセス権を付与します。
  3. (オプション) : アプリケーションで書き込みアクセスが求められる場合は、2 つの権限のみを持つロールを作成します。
    • ホスト > 構成 > SystemManagement

    • ホスト > CIM > CIMInteraction

  4. 監視対象の ESXi ホストそれぞれについて、カスタム ロールとサービス アカウントを組み合わせる権限を作成します。

    ロールを使用した権限の割り当てを参照してください。