クラウド管理者として Cloud Assembly での作業を開始する前に、パブリック クラウドとプライベート クラウドのアカウントに関する情報を収集する必要があります。クラウド リソースの追加を開始するには、このチェックリストを使用します。
必要な全体的な認証情報。
目的 | 必要なもの |
---|---|
Cloud Assembly に登録してログインする |
VMware ID。
|
vRealize Automation サービスに接続する |
ファイアウォールを介して以下にアクセスする送信トラフィックに対して開いている HTTPS ポート 443。
ポートとプロトコルの詳細については、VMware Ports and Protocolsを参照してください。 ポートとプロトコルの詳細については、リファレンス アーキテクチャに関するヘルプのポートの要件を参照してください。 |
vCenter Server クラウド アカウントの認証情報
このセクションでは、vCenter Server クラウド アカウントを追加するために必要な認証情報について説明します。
- vCenter の IP アドレスまたは FQDN
VMware Cloud on AWS および vCenter クラウド アカウントの管理に必要な権限が一覧表示されます。権限は、エンドポイントをホストするクラスタのほかに、vCenter 内のすべてのクラスタで有効になっている必要があります。
Windows 11 の仮想マシンを展開する場合に VMware の仮想 Trusted Platform Module (vTPM) の制御をサポートするには、vCenter での 暗号化操作 ->直接アクセス 権限が必要です。この権限がないと、vRealize Automation から Windows 11 仮想マシンへのコンソール アクセスはできません。関連情報については、「仮想 Trusted Platform Module の概要」を参照してください。
NSX-V、NSX-T、vCenter、VMware Cloud on AWS など、vCenter ベースのすべてのクラウド アカウントについて、管理者は vSphere エンドポイント認証情報、またはエージェント サービスが vCenter で実行されるときの認証情報を持っている必要があります。これにより、ホスト vCenter に管理者アクセスが提供されます。
設定 | 選択 |
---|---|
データストア |
|
データストア クラスタ |
|
フォルダ |
|
グローバル |
|
ネットワーク |
|
権限 |
|
リソース |
|
Profile-Driven Storage |
|
コンテンツ ライブラリ コンテンツ ライブラリに権限を割り当てるには、管理者が権限をグローバル権限としてユーザーに付与する必要があります。関連情報については、VMware vSphere のドキュメントで、『vSphere 仮想マシン管理』のコンテンツ ライブラリの権限の階層的な継承を参照してください。 |
|
vSphere のタグ付け |
|
vApp |
|
仮想マシン - インベントリ |
|
仮想マシン - 相互作用 |
|
仮想マシン - 構成 |
|
仮想マシン - プロビジョニング |
|
仮想マシンの状態 |
|
Amazon Web Services (AWS) クラウド アカウントの認証情報
このセクションでは、Amazon Web Services Server クラウド アカウントを追加するために必要な認証情報について説明します。認証情報の追加要件については、上記の「vCenter Server クラウド アカウントの認証情報」セクションを参照してください。
読み取りおよび書き込み権限を持つパワー ユーザー アカウントを指定します。ユーザー アカウントは、AWS IAM(ID およびアクセス権の管理)システムのパワー アクセス ポリシー (PowerUserAccess) のメンバーであることが必要です。
20 桁の アクセス キーの ID と対応する プライベート アクセス キー を有効にします。
外部 HTTP インターネット プロキシを使用する場合は、IPv4 用に設定する必要があります。
設定 | 選択 |
---|---|
自動スケーリングのアクション | 自動スケーリング機能を使用するには、次の AWS 権限が推奨されます。
|
自動スケーリングのリソース | リソースの自動スケーリング権限を許可するには、次の権限が必要です。
|
AWS Security Token Service (AWS STS) のリソース | AWS の ID とアクセス権に関する一時的な制限付き権限の認証情報を AWS Security Token Service (AWS STS) の機能がサポートできるようにするには、次の権限が必要です。
|
EC2 のアクション | EC2 機能を許可するには、次の AWS 権限が必要です。
|
EC2 のリソース |
|
弾性ロード バランシング - ロード バランサのアクション |
|
弾性ロード バランシング - ロード バランサのリソース |
|
AWS ID およびアクセス権の管理 (IAM) |
次の AWS の ID およびアクセス権の管理 (IAM) 権限を有効にすることはできますが、必須ではありません。
|
Microsoft Azure Server クラウド アカウントの認証情報
このセクションでは、Microsoft Azure Server クラウド アカウントを追加するために必要な認証情報について説明します。
Microsoft Azure インスタンスを設定し、有効な Microsoft Azure サブスクリプションを取得します(サブスクリプション ID が必要となります)。
方法:リソースにアクセスできる Azure AD アプリケーションとサービス プリンシパルをポータルで作成するの説明に従って、Active Directory アプリケーションを作成します。
外部 HTTP インターネット プロキシを使用する場合は、IPv4 用に設定する必要があります。
- 全般設定
次の全体的な設定が必要です。
設定 説明 サブスクリプション ID Microsoft Azure サブスクリプションへのアクセスを許可します。 テナント ID Microsoft Azure アカウントで作成した Active Directory アプリケーションの認証エンドポイント。 クライアント アプリケーションの ID Microsoft Azure 個人アカウントの Microsoft Active Directory へのアクセスを提供します。 クライアント アプリケーションのプライベート キー クライアント アプリケーション ID とペアリングするために生成された一意のプライベート キー。 - クラウド アカウントを作成および検証するための設定
Microsoft Azure クラウド アカウントを作成および検証するには、次の権限が必要です。
設定 選択 Microsoft Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
- Microsoft.Compute/virtualMachines/deallocate/action
- Microsoft.Compute/virtualMachines/delete
- Microsoft.Compute/virtualMachines/powerOff/action
- Microsoft.Compute/virtualMachines/read
- Microsoft.Compute/virtualMachines/restart/action
- Microsoft.Compute/virtualMachines/start/action
- Microsoft.Compute/virtualMachines/write
- Microsoft.Compute/availabilitySets/write
- Microsoft.Compute/availabilitySets/read
- Microsoft.Compute/availabilitySets/delete
- Microsoft.Compute/disks/delete
- Microsoft.Compute/disks/read
- Microsoft.Compute/disks/write
Microsoft Network - Microsoft.Network/loadBalancers/backendAddressPools/join/action
- Microsoft.Network/loadBalancers/delete
- Microsoft.Network/loadBalancers/read
- Microsoft.Network/loadBalancers/write
- Microsoft.Network/networkInterfaces/join/action
- Microsoft.Network/networkInterfaces/read
- Microsoft.Network/networkInterfaces/write
- Microsoft.Network/networkInterfaces/delete
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkSecurityGroups/read
- Microsoft.Network/networkSecurityGroups/write
- Microsoft.Network/networkSecurityGroups/delete
- Microsoft.Network/publicIPAddresses/delete
- Microsoft.Network/publicIPAddresses/join/action
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/publicIPAddresses/write
- Microsoft.Network/virtualNetworks/read
- Microsoft.Network/virtualNetworks/subnets/delete
- Microsoft.Network/virtualNetworks/subnets/join/action
- Microsoft.Network/virtualNetworks/subnets/read
- Microsoft.Network/virtualNetworks/subnets/write
- Microsoft.Network/virtualNetworks/write
Microsoft Resources - Microsoft.Resources/subscriptions/resourcegroups/delete
- Microsoft.Resources/subscriptions/resourcegroups/read
- Microsoft.Resources/subscriptions/resourcegroups/write
Microsoft Storage - Microsoft.Storage/storageAccounts/delete
- Microsoft.Storage/storageAccounts/read
-
Microsoft.Storage/storageAccounts/write
-
通常、Microsoft.Storage/storageAccounts/listKeys/action は必須ではありませんが、ユーザーがストレージ アカウントを表示する際に必要になる場合があります。
Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.web/sites/functions/masterkey/read
- アクションベースの拡張性の設定
Microsoft Azure をアクションベースの拡張機能とともに使用している場合は、最小限の権限に加えて、次の権限が必要です。
設定 選択 Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/*/action
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.Web/sites/functions/masterkey/read
- Microsoft.Web/apimanagementaccounts/apis/read
Microsoft 認証 - Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Microsoft Insights - Microsoft.Insights/Components/Read
- Microsoft.Insights/Components/Write
- Microsoft.Insights/Components/Query/Read
Deny
タイプの効果があるリソース グループにStorage account public access should be disallowed
プロパティが割り当てられている場合、拡張性アクションのストレージ アカウントを自動作成することはできません。このようなシナリオでは、FaaS プロバイダが [自動選択] に設定されている場合、拡張性アクションを実行できません。FaaS プロバイダを [Microsoft Azure] に手動で設定し、ストレージ アカウントとリソース グループを構成する必要があります。 - 拡張機能を使用するアクションベースの拡張性の設定
拡張機能を使用するアクションベースの拡張機能とともに Microsoft Azure を使用している場合は、次の権限も必要です。
設定 選択 Microsoft.Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
Microsoft Azure クラウド アカウントの作成の関連情報については、Microsoft Azure の構成を参照してください。
Google Cloud Platform (GCP) クラウド アカウントの認証情報
このセクションでは、Google Cloud Platform Server クラウド アカウントを追加するために必要な認証情報について説明します。
Google Cloud Platform クラウド アカウントは、Google Cloud Platform コンピューティング エンジンと連携して動作します。
Google Cloud Platform クラウド アカウントを作成および検証するには、プロジェクト管理者および所有者の認証情報が必要です。
外部 HTTP インターネット プロキシを使用する場合は、IPv4 用に設定する必要があります。
コンピューティング エンジン サービスを有効にする必要があります。vRealize Automation でクラウド アカウントを作成する場合は、コンピューティング エンジンが初期化されたときに作成されたサービス アカウントを使用します。
設定 | 選択 |
---|---|
roles/compute.admin |
すべてのコンピューティング エンジン リソースに対するフル コントロールを提供します。 |
roles/iam.serviceAccountUse |
サービス アカウントとして実行するように設定された仮想マシン インスタンスを管理するユーザーに、アクセスを提供します。次のリソースおよびサービスへのアクセスを許可します。
|
roles/compute.imageUser |
イメージに対する他の権限がなくてもイメージの一覧表示と読み取りができる権限を提供します。プロジェクト レベルで compute.imageUser ロールが付与されたユーザーは、そのプロジェクト内のすべてのイメージを一覧表示できます。また、プロジェクト内のイメージに基づいてインスタンスやパーシステント ディスクなどのリソースを作成できます。
|
roles/compute.instanceAdmin |
仮想マシン インスタンスを作成、変更、削除する権限を提供します。これには、ディスクの作成、変更、削除をする権限、およびシールドされた VMBETA 設定を設定する権限が含まれます。 仮想マシン インスタンス(サービス アカウントとして実行されるネットワークまたはセキュリティの設定とインスタンスは除く)を管理するユーザーの場合、インスタンスを含む組織、フォルダ、またはプロジェクトに、または個々のインスタンスにこのロールを付与します。 サービス アカウントとして実行するように設定された仮想マシン インスタンスを管理するユーザーにも、roles/iam.serviceAccountUser ロールが必要です。
|
roles/compute.instanceAdmin.v1 |
コンピューティング エンジン インスタンス、インスタンス グループ、ディスク、スナップショット、イメージに対するフル コントロールを提供します。また、すべてのコンピューティング エンジン ネットワーク リソースへの読み取りアクセスも提供します。
注: このロールをインスタンス レベルで付与されたユーザーは、新しいインスタンスを作成できなくなります。
|
NSX-T Server クラウド アカウントの認証情報
このセクションでは、NSX-T クラウド アカウントを追加するために必要な認証情報について説明します。
- NSX-T の IP アドレスまたは FQDN
- NSX-T Data Center - エンタープライズ管理者ロールとアクセス認証情報
監査者ロールは必須です。
カテゴリ/サブカテゴリ | 権限 |
---|---|
ネットワーク - Tier-0 ゲートウェイ | 読み取り専用 |
ネットワーク - Tier-0 ゲートウェイ -> OSPF | なし |
ネットワーク - Tier-1 ゲートウェイ | フル アクセス |
ネットワーク - セグメント | フル アクセス |
ネットワーク - VPN | なし |
ネットワーク - NAT | フル アクセス |
ネットワーク - ロード バランシング | フル アクセス |
ネットワーク - 転送ポリシー | なし |
ネットワーク - 統計 | なし |
ネットワーク - DNS | なし |
ネットワーク - DHCP | フル アクセス |
ネットワーク - IP アドレス プール | なし |
ネットワーク - プロファイル | 読み取り専用 |
セキュリティ - 脅威の検出と応答 | なし |
セキュリティ - 分散ファイアウォール | フル アクセス |
セキュリティ - IDS/IPS とマルウェア防止 | なし |
セキュリティ - TLS 検査 | なし |
セキュリティ - ID ファイアウォール | なし |
セキュリティ - ゲートウェイ ファイアウォール | なし |
セキュリティ - サービス チェーン管理 | なし |
セキュリティ - ファイアウォール時間枠 | なし |
セキュリティ - プロファイル | なし |
セキュリティ - サービス プロファイル | なし |
セキュリティ - ファイアウォール設定 | フル アクセス |
セキュリティ - ゲートウェイ セキュリティ設定 | なし |
インベントリ | フル アクセス |
トラブルシューティング | なし |
システム | なし |
このトピックの「vCenter Server クラウド アカウントの認証情報」セクションで説明されているように、管理者には vCenter Server へのアクセス権も必要です。
NSX-V Server クラウド アカウントの認証情報
このセクションでは、NSX-V クラウド アカウントを追加するために必要な認証情報について説明します。
- NSX-V エンタープライズ管理者のロールとアクセス認証情報
- NSX-V の IP アドレスまたは FQDN
この表の「vCenter Server のクラウド アカウントを追加する」セクションで説明されているように、管理者には vCenter Server へのアクセス権も必要です。
VMware Cloud Director (vCD) クラウド アカウントの認証情報
このセクションでは、VMware Cloud Director (vCD) クラウド アカウントを追加するために必要な認証情報について説明します。
設定 | 選択 |
---|---|
すべての組織 vDC へのアクセス | すべて |
カタログ |
|
全般 |
|
メタデータ ファイル エントリ | 作成/変更 |
組織ネットワーク |
|
組織 vDC ゲートウェイ |
|
組織 vDC |
|
組織 |
|
割り当てポリシー機能 | 表示 |
VDC テンプレート |
|
vApp テンプレート/メディア |
|
vApp テンプレート |
|
vApp |
|
vDC グループ |
|
vRealize Operations Manager 統合の認証情報
このセクションでは、vRealize Operations Manager と統合するために必要な認証情報について説明します。これらの認証情報は、vRealize Operations Manager ではなく、vRealize Automation で確立および構成されていることに注意してください。
vRealize Operations Manager へのローカルまたは非ローカルのログイン アカウントに、次の読み取り権限を付与します。
- アダプタ インスタンス vCenter Server アダプタ > vCenter-FQDN の vCenter Server アダプタ インスタンス
読み取り専用ロールを割り当てる前に、非ローカル アカウントのインポートが必要になる場合があります。
vRealize Automation のための Microsoft Azure VMware Solution (AVS) との NSX 統合
カスタム ロールの構成など、Microsoft Azure VMware Solution (AVS) で実行されている NSX を vRealize Automation に接続する方法については、Microsoft 製品ドキュメントの「NSX-T Data Center クラウド管理者のユーザー権限」を参照してください。