通常、vCenter Server システムで管理される ESXi ホスト オブジェクトに権限を割り当てて、ユーザーに権限を付与します。スタンドアローンの ESXi ホストを使用している場合は、権限を直接付与することができます。
vCenter Server に管理される ESXi ホストへの権限の割り当て
ESXi ホストが vCenter Server で管理される場合は、vSphere Client を使用して管理タスクを実行します。
vCenter Server オブジェクト階層内の ESXi ホスト オブジェクトを選択して、限られた数のユーザーに管理者ロールを割り当てることができます。これらのユーザーは、ESXi ホスト上で直接管理を実行できます。vCenter Server ロールを使用した権限の割り当てを参照してください。
ベスト プラクティスは、名前付きのユーザー アカウントを 1 つ以上作成し、ホスト上でそのアカウントに完全な管理者権限を割り当てて、root アカウントの代わりにこのアカウントを使用することです。root アカウントに非常に複雑なパスワードを設定し、root アカウントの使用を制限しますroot アカウントは削除しないでください。
スタンドアローン ESXi ホストへの権限の割り当て
VMware Host Client の [管理] タブで、ローカル ユーザーを追加してカスタム ロールを定義できます。『vSphere の単一ホスト管理:VMware Host Client』ドキュメントを参照してください。
ESXi のすべてのバージョンにおいて、事前定義済みのユーザーを /etc/passwd ファイルで確認できます。
次のロールが事前定義されています。
ESXi ホストに直接接続された VMware Host Client を使用して、ローカル ユーザーおよびグループを管理し、ローカルのカスタム ロールを ESXi ホストに追加できます。『vSphere の単一ホスト管理:VMware Host Client』ドキュメントを参照してください。
vSphere 6.0 以降では、ESXCLI のアカウント管理コマンドを使用して、ESXi ローカル ユーザー アカウントを管理できます。ESXCLI の権限管理コマンドを使用すると、Active Directory アカウント(ユーザーおよびグループ)と ESXi ローカル アカウント(ユーザーのみ)の両方で権限の設定や削除を行うことができます。
事前定義された ESXi ユーザーおよび権限
使用中の環境に vCenter Server システムが含まれていない場合は、次のユーザーが事前定義されています。
- root ユーザー
-
デフォルトでは、各 ESXi ホストに、管理者ロールを持つ単一の root ユーザー アカウントがあります。この root ユーザー アカウントは、ローカル管理や vCenter Server にホストを接続するために使用できます。
root ユーザーは権限を持つユーザーとして一般的に知られているため、悪用されて、ESXi ホストに容易に侵入される可能性があります。また、汎用的な root アカウントを使用すると、実施に実行したユーザーを特定することが難しくなります。
管理状況を追跡するには、管理者権限を持つ個人アカウントを作成してください。root アカウントには非常に複雑なパスワードを設定し、root アカウントの使用(vCenter Server にホストを追加する場合など)を制限します。root アカウントは削除しないでください。ESXi ホストのユーザーへの権限割り当ての詳細については、『vSphere の単一ホスト管理:VMware Host Client』を参照してください。
ベスト プラクティスは、 ESXi ホストの管理者ロールを持つアカウントに専用のアカウントを指定し、特定のユーザーに割り当てることです。 ESXi Active Directory 機能を使用して、Active Directory 認証情報を管理します。重要: root ユーザーのアクセス権限は削除できます。ただし、最初に root レベルの別の権限を持つ別のユーザーを作成し、管理者ロールに割り当てる必要があります。 - vpxuser ユーザー
- vCenter Server では、vpxuser の権限を使用して、ホストに対するアクティビティを管理します。
- dcui ユーザー
- dcui ユーザーはホスト上で実行され、システム管理者権限で動作します。このユーザーは主に、ダイレクト コンソール ユーザー インターフェイス (DCUI) からロックダウン モードのホストを構成する場合に使用します。
非 root ESXi ユーザーのシェル アクセスの無効化
vSphere 8.0 以降では、非 root ESXi ユーザー(事前定義された vpxuser ユーザーや dcui ユーザーなど)のシェル アクセスを無効にすることができます。シェル アクセスを無効にすると、これらのユーザーに対して「API のみ」のスタンスを適用することでセキュリティを強化できます。
シェル アクセスを無効にするには、esxcli system account set --id
user --shell-access false
コマンドを使用します。対応する API は LocalAccountManager.updateUser です。また、VMware Host Client を使用して、ESXi ローカル ユーザーの [シェル アクセスの有効化] フラグを変更することもできます。
この種の変更を行う場合は、既存のサードパーティ製ワークフローが破壊されないことを確認します。