vSphere 信頼機関 を構成するときは、ハードウェアおよびソフトウェアの要件を考慮する必要があります。暗号化を使用するには、暗号化の権限とロールを設定する必要があります。vSphere 信頼機関 タスクを実行するユーザーには、適切な権限が与えられている必要があります。

vSphere 信頼機関 の要件

vSphere 信頼機関 を使用するには、vSphere 環境が以下の要件を満たす必要があります。

  • ESXi 信頼済みホストのハードウェア要件
    • TPM 2.0
    • セキュア ブートを有効にしてあること
    • EFI ファームウェア
  • コンポーネントの要件:
    • vCenter Server 7.0 以降
    • vSphere Trust Authority クラスタと ESXi ホスト専用の vCenter Server システム
    • 信頼済みクラスタと ESXi 信頼済みホストの個別の vCenter Server システム
    • キー サーバ(以前の vSphere リリースではキー管理サーバまたは KMS と呼ばれていました)
  • 仮想マシンの要件:
    • EFI ファームウェア
    • セキュア ブートが有効になっていること
注: vSphere 信頼機関 の構成を開始する前に、Trust Authority クラスタと信頼済みクラスタ用に vCenter Server システムを設定し、各クラスタに ESXi ホストを追加していることを確認します。

vSphere 信頼機関 と暗号化の権限

vSphere 信頼機関 では、新しい暗号化権限は導入されません。暗号化の権限とロールの使用に記載されているものと同じ暗号化権限が vSphere 信頼機関 に適用されます。

vSphere 信頼機関 とホスト暗号化モード

vSphere 信頼機関 では、ESXi 信頼済みホストでホスト暗号化モードを有効にするための新しい要件は導入されません。ホスト暗号化モードの詳細については、仮想マシンの暗号化タスクの前提条件と必要な権限を参照してください。

vSphere 信頼機関 ロールおよび TrustedAdmins グループの使用

vSphere 信頼機関 操作には、TrustedAdmins グループのメンバーであるユーザーが必要です。このユーザーは、信頼機関管理者と呼ばれます。vSphere 管理者は、信頼済みインフラストラクチャ管理者ロールを取得するために、自分自身または他のユーザーを TrustedAdmins グループに追加する必要があります。vCenter Server 認可には、信頼済みインフラストラクチャ管理者ロールが必要です。信頼済みインフラストラクチャの一部である ESXi ホストでの認証には、TrustedAdmins グループが必要です。ESXi ホストで、Cryptographic Operations.Register host 権限を持つユーザーは、信頼されたクラスターを管理できます。vCenter Server 権限は、信頼できるホストには伝達されず、信頼できるホストにのみ伝達されます。信頼できるホストでの権限が付与されるのは、TrustedAdmins グループのメンバーだけです。グループ メンバーシップは、ESXi ホスト本体で検証されます。

注: vSphere 管理者と管理者グループのメンバーには、信頼済みインフラストラクチャ管理者ロールが割り当てられますが、このロールだけではユーザーが vSphere 信頼機関 操作を実行することは許可されません。TrustedAdmins グループのメンバーシップも必要です。

vSphere 信頼機関 が有効になると、信頼機関管理者は信頼済みキー プロバイダを信頼済みホストに割り当てることができます。それにより、この信頼済みホストは信頼済みキー プロバイダを使用して暗号化タスクを実行できます。

vSphere 信頼機関 では、信頼済みインフラストラクチャ管理者ロールに加えて、vSphere 信頼機関 API を呼び出すための権限を除く vCenter Server 内のすべての権限を備えた、信頼なしインフラストラクチャ管理者ロールが提供されます。

vSphere 信頼機関 のグループ、ロール、およびユーザーは、次のように機能します。

  • 最初の起動時に、vSphere から TrustedAdmins グループに対して、グローバル権限を持つ信頼済みインフラストラクチャ管理者ロールが付与されます。
  • 信頼済みインフラストラクチャ管理者ロールは、vSphere 信頼機関 API (TrustedAdmin.*) を呼び出すために必要な権限と、インベントリ オブジェクトを表示するための System.ReadSystem.ViewSystem.Anonymous の各システム権限を備えたシステム ロールです。
  • 信頼なしインフラストラクチャ管理者ロールは、vSphere 信頼機関 API を呼び出すための権限を除く vCenter Server 内のすべての権限を備えたシステム ロールです。新しい権限を vCenter Server に追加すると、その権限は信頼なしインフラストラクチャ管理者ロールにも追加されます(信頼なしインフラストラクチャ管理者ロールは、非暗号化管理者ロールに似ています)。
  • vSphere 信頼機関 権限 (TrustedAdmin.* API) は非暗号化管理者ロールに含まれていないため、このロールを持つユーザーは信頼済みインフラストラクチャを設定したり暗号化操作を実行したりすることができません。

次の表に、これらのユーザー、グループ、およびロールの使用事例を示します。

表 1. vSphere 信頼機関のユーザー、グループ、およびロール
ユーザー、グループ、またはロール vSphere 信頼機関vCenter Server API を呼び出し可能(vSphere 信頼機関 ESXi API の呼び出しを含む) vSphere 信頼機関vCenter Server API を呼び出し可能(vSphere 信頼機関 ESXi API の呼び出しを含まない) vSphere 信頼機関 に関連しないクラスタでホスト操作を実行可能 コメント
Administrators@system.domain グループと TrustedAdmins@system.domain グループの両方に属するユーザー はい はい はい なし
TrustedAdmins@system.domain グループのみに属するユーザー はい はい なし このようなユーザーは、通常のクラスタ管理操作を実行できません。
Administrators@system.domain グループのみに属するユーザー はい なし はい なし
信頼済みインフラストラクチャ管理者ロールを持ち、TrustedAdmins@system.domain グループには属さないユーザー はい なし なし ESXi ホストは、権限を付与するユーザーのグループ メンバーシップを確認します。
信頼なしインフラストラクチャ管理者ロールのみを持つユーザー なし なし はい このようなユーザーは、vSphere 信頼機関 の操作を実行できない管理者とほぼ同等です。