vSphere 신뢰 기관을 구성할 때에는 하드웨어 및 소프트웨어 요구 사항을 고려해야 합니다. 암호화를 사용하려면 암호화 권한 및 역할을 설정해야 합니다. vSphere 신뢰 기관 작업을 수행하는 사용자에게 적절한 권한이 있어야 합니다.
vSphere 신뢰 기관에 대한 요구 사항
vSphere 신뢰 기관을 사용하려면 vSphere 환경이 다음과 같은 요구 사항을 충족해야 합니다.
- ESXi 신뢰할 수 있는 호스트 하드웨어 요구 사항:
- TPM 2.0
- 보안 부팅 사용
- EFI 펌웨어
- 구성 요소 요구 사항:
- vCenter Server 7.0 이상
- vSphere 신뢰 기관 클러스터 및 ESXi 호스트에 대한 전용 vCenter Server 시스템
- 신뢰할 수 있는 클러스터 및 ESXi 신뢰할 수 있는 호스트에 대한 별도의 vCenter Server 시스템
- 키 서버(이전 vSphere 릴리스에서는 KMS(키 관리 서버)라고 함)
- 가상 시스템 요구 사항:
- EFI 펌웨어
- 보안 부팅 사용
암호화 권한
vSphere 신뢰 기관에 추가된 새로운 암호화 권한은 없습니다. 암호화 권한 및 역할에 설명된 것과 동일한 암호화 권한이 vSphere 신뢰 기관에 적용됩니다.
호스트 암호화 모드
ESXi 신뢰할 수 있는 호스트에서 호스트 암호화 모드를 사용하도록 설정하기 위해 vSphere 신뢰 기관에 추가된 새로운 요구 사항은 없습니다. 호스트 암호화 모드에 대한 자세한 내용은 암호화 작업의 사전 요구 사항 및 필요한 권한 항목을 참조하십시오.
vSphere 신뢰 기관 역할 및 신뢰할 수 있는 관리자 그룹
vSphere 신뢰 기관 작업에는 신뢰할 수 있는 관리자 그룹의 멤버인 사용자가 필요합니다. 이 사용자를 신뢰 기관 관리자라고 합니다. vSphere 관리자는 자기 자신을 신뢰할 수 있는 관리자 그룹에 추가하거나 다른 사용자를 이 그룹에 추가하여 신뢰할 수 있는 인프라 관리자 역할을 얻어야 합니다. 신뢰할 수 있는 인프라 관리자 역할은 vCenter Server 인증을 위해 필요합니다. 신뢰할 수 있는 관리자 그룹은 신뢰할 수 있는 인프라의 일부인 ESXi 호스트에서의 인증을 위해 필요합니다. ESXi 호스트에서 권한을 가진 사용자는 신뢰할 수 있는 클러스터를 관리할 수 있습니다. vCenter Server 사용 권한은 신뢰 기관 호스트에 전파되지 않고 신뢰할 수 있는 호스트에만 전파됩니다. 신뢰할 수 있는 관리자 그룹의 멤버에게만 신뢰 기관 호스트에 대한 권한이 부여됩니다. 그룹 멤버 자격은 ESXi 호스트 자체에서 확인됩니다.
vSphere 신뢰 기관이 사용되도록 설정되면 신뢰 기관 관리자가 신뢰할 수 있는 호스트에 신뢰할 수 있는 키 제공자를 할당할 수 있습니다. 그러면 신뢰할 수 있는 호스트가 신뢰할 수 있는 키 제공자를 사용하여 암호화 작업을 수행할 수 있습니다.
vSphere 신뢰 기관은 신뢰할 수 있는 인프라 관리자 역할 외에도 vSphere 신뢰 기관 API를 호출하는 권한을 제외한 vCenter Server의 모든 권한이 포함된 신뢰할 수 있는 인프라 관리자 없음 역할을 제공합니다.
vSphere 신뢰 기관 그룹, 역할 및 사용자는 다음과 같이 작동합니다.
- 처음 부팅 시 vSphere는 신뢰할 수 있는 관리자 그룹에 글로벌 사용 권한을 가진 신뢰할 수 있는 인프라 관리자 역할을 부여합니다.
- 신뢰할 수 있는 인프라 관리자 역할은 vSphere 신뢰 기관 API(TrustedAdmin.*)를 호출하는 데 필요한 권한과 인벤토리 개체를 보기 위한 시스템 권한 System.Read, System.View 및 System.Anonymous를 가진 시스템 역할입니다.
- 신뢰할 수 있는 인프라 관리자 없음 역할은 vSphere 신뢰 기관 API를 호출하는 권한을 제외한 모든 vCenter Server 권한이 포함된 시스템 역할입니다. vCenter Server에 새 권한을 추가하면 해당 권한이 신뢰할 수 있는 인프라 관리자 없음 역할에도 추가됩니다. (신뢰할 수 있는 인프라 관리자 없음 역할은 암호화 관리자 없음 역할과 유사합니다.)
- 암호화 관리자 없음 역할에는 vSphere 신뢰 기관 권한(TrustedAdmin.* API)이 포함되어 있지 않으므로 이 역할을 가진 사용자는 신뢰할 수 있는 인프라를 설정하거나 암호화 작업을 수행할 수 없습니다.
이러한 사용자, 그룹 및 역할에 대한 사용 사례가 다음 표에 표시되어 있습니다.
사용자, 그룹 또는 역할 | vSphere 신뢰 기관 vCenter Server API 호출(vSphere 신뢰 기관 ESXi API에 대한 호출 포함) 가능 | vSphere 신뢰 기관 vCenter Server API 호출(vSphere 신뢰 기관 ESXi API에 대한 호출 불포함) 가능 | vSphere 신뢰 기관와 관련되지 않은 클러스터에서 호스트 작업 수행 가능 | 설명 |
---|---|---|---|---|
Administrators@system.domain 그룹 및 TrustedAdmins@system.domain 그룹의 사용자 | 예 | 예 | 예 | 해당 없음 |
TrustedAdmins@system.domain 그룹의 사용자만 | 예 | 예 | 아니요 | 이러한 사용자는 정기적인 클러스터 관리 작업을 수행할 수 없음 |
Administrators@system.domain 그룹의 사용자만 | 예 | 아니요 | 예 | 해당 없음 |
신뢰할 수 있는 인프라 관리자 역할이 있지만 TrustedAdmins@system.domain 그룹에 없는 사용자 | 예 | 아니요 | 아니요 | ESXi 호스트는 사용 권한 부여를 위해 사용자의 그룹 멤버 자격을 검사합니다. |
신뢰할 수 있는 인프라 관리자 없음 역할만 있는 사용자 | 아니요 | 아니요 | 예 | 이러한 사용자는 vSphere 신뢰 기관 작업을 수행할 수 없는 관리자와 유사합니다. |