一般資訊模型 (CIM) 系統提供了一個介面,使得使用一組標準 API 能夠從遠端應用程式進行硬體層級管理。若要確保 CIM 介面安全,請僅為這些應用程式提供必需的最小存取權限。如果某個應用程式已佈建有根或完整管理員帳戶,且該應用程式受到影響,則整個虛擬環境就可能會受到影響。

執行這項作業的原因和時機

CIM 是一種開放式標準,其所定義的架構用於 ESXi 硬體資源的無代理程式、以標準為基礎的監控作業。該架構由一個 CIM 物件管理器 (通常稱為 [CIM Broker]) 和一組 CIM 提供者組成。

CIM 提供者用作機制,提供對裝置驅動程式和基礎硬體的管理存取權限。硬體廠商 (包括伺服器製造商和特定硬體裝置廠商) 可寫入提供者,從而對其特定裝置進行監控和管理。VMware 也可以寫入一些提供者,用於實作監控伺服器硬體、ESXi 儲存區基礎結構和虛擬化專屬資源。這些提供者在 ESXi 系統內執行,因此設計為極其輕量且側重於特定管理工作。CIM Broker 從所有 CIM 提供者獲得資訊,並透過標準 API (最常見的一個是 WS-MAN) 呈現給外界。

請勿為遠端應用程式提供存取 CIM 介面的根認證。而是應該建立這些應用程式專屬的服務帳戶,並為 ESXi 系統上定義的所有本機帳戶以及 vCenter Server 中定義的所有角色授與對 CIM 資訊的唯讀存取權限。

程序

  1. 建立專屬於 CIM 應用程式的服務帳戶。
  2. 為在 ESXi 系統中定義的所有本機帳戶以及在 vCenter Server 中定義的所有角色授與對 CIM 資訊的唯讀存取權限。
  3. (選擇性) ︰ 如果應用程式需要對 CIM 介面的寫入權限,請建立一個要套用於服務帳戶的角色,使其僅擁有以下兩項權限:
    • 主機 > 組態 > 系統管理

    • 主機 > CIM > CIM 互動

    視監控應用程式的工作方式而定,該角色可以是主機的本機角色,也可以在 vCenter Server 中集中定義。

結果

使用者使用您為 CIM 應用程式建立的服務帳戶登入主機時,該使用者僅擁有系統管理CIM 互動權限,或唯讀存取權限。