Conceitos de identidade da Solução VMware no Azure

  • Artigo

As nuvens privadas da Solução VMware no Azure são provisionadas com um vCenter Server e um NSX Manager. Use o vCenter Server para gerenciar cargas de trabalho de VM (máquina virtual) e do NSX Manager para gerenciar e estender a nuvem privada. A função CloudAdmin é usada no vCenter Server e a função CloudAdmin (com permissões restritas) é usada no NSX Manager.

Acesso e identidade do vCenter Server

Na Solução VMware no Azure, o VMware vCenter Server tem uma conta de usuário local interna chamada CloudAdmin que tem atribuída a função CloudAdmin. Você pode configurar usuários e grupos no Windows Server Active Directory com a função CloudAdmin para a sua nuvem privada. Em geral, a função CloudAdmin cria e gerencia cargas de trabalho em sua nuvem privada. No entanto, na Solução VMware no Azure, a função CloudAdmin tem privilégios do vCenter Server diferentes de outras soluções de nuvem VMware e implantações locais.

Importante

A conta de usuário local do CloudAdmin deve ser usada como uma conta de acesso para cenários emergência em sua nuvem privada. O seu uso não se destina a atividades administrativas diárias ou para integração com outros serviços.

  • Em uma implantação local do vCenter Server e do ESXi, o administrador tem acesso à conta administrator@vsphere.local do vCenter Server e à conta raiz do ESXi. O administrador também pode ser atribuído a mais usuários e grupos do Windows Server Active Directory.

  • Em uma implantação da Solução VMware no Azure, o administrador não tem acesso à conta de usuário do administrador nem à conta raiz do ESXi. Mas o administrador pode atribuir usuários do Windows Server Active Directory e agrupar a função CloudAdmin no vCenter Server. A função CloudAdmin não tem permissões para adicionar uma fonte de identidade, como um LDAP (Lightweight Directory Access Protocol) local ou um servidor LDAPS (LDAP Seguro) ao vCenter Server. No entanto, você pode usar comandos de execução para adicionar uma fonte de identidade e atribuir a função CloudAdmin a usuários e grupos.

Uma conta de usuário em uma nuvem privada não pode acessar ou gerenciar componentes de gerenciamento específicos que a Microsoft dá suporte e gerencia. Os exemplos incluem clusters, hosts, armazenamentos de dados e comutadores virtuais distribuídos.

Observação

Na Solução VMware no Azure, o domínio de logon único (SSO) vsphere.local é fornecido como um recurso gerenciado para dar suporte a operações de plataforma. Você não pode usá-lo para criar ou gerenciar grupos locais e usuários, exceto os fornecidos por padrão com sua nuvem privada.

Importante

A Solução VMware no Azure oferece funções personalizadas no vCenter Server, mas atualmente não as oferece no portal da Solução VMware no Azure. Para saber mais, consulte a seção Criar funções personalizadas no vCenter Server, mais tarde neste artigo.

Exibir os privilégios do vCenter Server

Use as etapas a seguir para exibir os privilégios concedidos à função CloudAdmin da Solução VMware no Azure na nuvem privada vCenter da Solução VMware no Azure.

  1. Entre no Cliente do vSphere e acesse Menu>Administração.

  2. Em Controle de Acesso, selecione Funções.

  3. Na lista de funções, selecione CloudAdmin e selecione Privilégios.

    Captura de tela mostrando as funções e os privilégios do CloudAdmin no Cliente do vSphere.

A função CloudAdmin na Solução VMware no Azure tem os seguintes privilégios no vCenter Server. Para obter mais informações, consulte a documentação do produto do VMware.

Escalonamento de Descrição
Alarmes Reconhecer alerta
Criar alarme
Desabilitar ação de alarme
Modificar alarme
Remover alarme
Definir status do alarme
Biblioteca de Conteúdo Adicionar item de biblioteca
Adicionar certificado raiz ao repositório confiável
Fazer check-in de um modelo
Fazer check-out de um modelo
Criar uma assinatura para uma biblioteca publicada
Criar biblioteca local
Criar ou excluir um registro do Harbor
Criar biblioteca inscrita
Criar, excluir ou limpar um projeto de registro do Harbor
Excluir item de biblioteca
Excluir biblioteca local
Excluir certificado raiz do repositório confiável
Excluir biblioteca inscrita
Excluir assinatura de uma biblioteca publicada
Baixar arquivos
Remover itens de biblioteca
Remover biblioteca inscrita
Importar armazenamento
Gerenciar recursos de registro do Harbor no recurso de computação especificado
Investigação de informações da assinatura
Publicar um item de biblioteca para seus assinantes
Publicar uma biblioteca para seus assinantes
Leitura de armazenamento
Sincronizar item de biblioteca
Sincronizar biblioteca inscrita
Introspecção de tipo
Atualizar definições de configuração
Atualizar arquivos
Atualizar biblioteca
Atualizar item de biblioteca
Atualizar biblioteca local
Atualizar biblioteca inscrita
Atualizar assinatura de uma biblioteca publicada
Exibir definições de configuração
Operações de criptografia Acesso direto
Datastore Alocar espaço
Procurar no Repositório de Dados
Configurar armazenamento de dados
Operações de arquivo de baixo nível
Remover arquivos
Atualizar metadados da máquina virtual
Pasta Criar uma pasta
Excluir pasta
Mover pasta
Renomear pasta
Global Cancelar tarefa
Marca global
Integridade
Evento de log
Gerenciar atributos personalizados
Gerenciadores de serviço
Definir atributo personalizado
Marca do sistema
Host Replicação do vSphere
    Gerenciar a replicação
Rede Atribuir rede
Permissões Modificar permissões
Modificar função
Armazenamento orientado por perfil Exibição de armazenamento orientado por perfil
Recurso Aplicar recomendação
Atribuir vApp ao pool de recursos
Atribuir máquina virtual ao pool de recursos
Criar pool de recursos
Migrar máquina virtual desligada
Migrar máquina virtual ligada
Modificar pool de recursos
Mover pool de recursos
Consultar vMotion
Remover pool de recursos
Renomear pool de recursos
Tarefa agendada Criar tarefa
Modificar tarefa
Remover tarefa
Executar tarefa
Sessões Mensagem
Validar sessão
Visualizar armazenamento Exibir
vApp Adicionar máquina virtual
Atribuir pool de recursos
Atribuir vApp
Clone
Criar
Excluir
Exportar
Importar
Mover
Desligar
Ligue
Renomear
Suspend
Cancelar o registro
Exibir ambiente OVF
Configuração do aplicativo vApp
Configuração da instância vApp
Configuração do managedBy vApp
Configuração do recurso vApp
Máquina virtual Alterar configuração
    Adquirir concessão de disco
    Adicionar disco existente
    Adicionar disco novo
    Adicionar ou remover dispositivo
    Configuração avançada
    Alterar contagem de CPU
    Alterar memória
    Alterar configurações
    Alterar posicionamento do swapfile
    Alterar recurso
    Configurar dispositivo USB do host
    Configurar dispositivo bruto
    Configurar o managedBy
    Exibir configurações de conexão
    Estender disco virtual
    Modificar as configurações de dispositivo
    Consultar compatibilidade de tolerância a falhas
    Consultar arquivos sem dono
    Recarregar a partir dos caminhos
    Remover disco
    Renomear
    Redefinir informações de convidado
    Definir anotação
    Alternar o acompanhando de alteração de disco
    Alternar bifurcação pai
    Atualizar a compatibilidade da máquina virtual
Editar estoque
    Criar a partir de existente
    Criar novo
    Mover
    Registrar-se
    Remover
    Cancelar o registro
Operações de convidado
    Modificação de alias da operação de convidado
    Consulta de alias de operação de convidado
    Modificações de operação de convidado
    Execução de programa de operação de convidado
    Consultas de operação de convidado
Interação
    Responder pergunta
    Operação de backup em máquina virtual
    Configurar mídia de CD
    Configurar mídia de disquete
    Conectar dispositivos
    Interação do console
    Criar captura de tela
    Desfragmentar todos os discos
    Arrastar e soltar
    Gerenciamento do sistema operacional convidado por VIX API
    Injetar códigos de verificação de HID USB
    Instalar ferramentas do VMware
    Pausar ou retomar
    Operações de redução ou de apagamento
    Desligar
    Ligue
    Registrar sessão na máquina virtual
    Reproduzir sessão na máquina virtual
    Reset
    Retomar tolerância a falhas
    Suspend
    Suspender tolerância a falhas
    Testar failover
    Testar reinicialização de VM secundária
    Desativar tolerância a falhas
    Ativar tolerância a falhas
Provisionamento
    Permitir acesso ao disco
    Permitir acesso a arquivos
    Permitir acesso somente leitura ao disco
    Permitir download de máquina virtual
    Clonar modelo
    Clonar máquina virtual
    Criar modelo a partir da máquina virtual
    Personalizar convidado
    Implantar modelo
    Marcar como modelo
    Modificar especificação de personalização
    Promover discos
    Ler especificações de personalização
Configuração do serviço
    Permitir notificações
    Permitir sondagem de notificações de eventos globais
    Gerenciar configurações de serviço
    Modificar configuração de serviço
    Consultar configurações de serviço
    Leitura de configuração de serviço
Gerenciamento de instantâneo
    Create snapshot
    Remover instantâneo
    Renomear instantâneo
    Reverter instantâneo
Replicação do vSphere
    Configurar replicação
    Gerenciar a replicação
    Monitorar a replicação
vService Criar dependência
Destruir dependência
Reconfigurar configuração de dependência
Atualizar dependência
marcação do vSphere Atribuir e cancelar atribuição de marca do vSphere
Criar marca do vSphere
Criar categoria de marca do vSphere
Excluir marca do vSphere
Excluir categoria de marca do vSphere
Editar marca do vSphere
Editar categoria de marca do vSphere
Modificar o campo UsedBy para a categoria
Modificar o campo UsedBy para marcação

Criar funções personalizadas no vCenter Server

A Solução VMware no Azure dá suporte ao uso de funções personalizadas com privilégios iguais ou menores que a função CloudAdmin. Use a função CloudAdmin para criar, modificar ou excluir funções personalizadas com privilégios menores ou iguais à sua função atual.

Observação

Você pode criar funções com privilégios maiores que o CloudAdmin. No entanto, você não pode atribuir a função a nenhum usuário ou grupo e nem excluir a função. As funções que têm privilégios maiores que as do CloudAdmin não têm suporte.

Para evitar a criação de funções que não podem ser atribuídas ou excluídas, faça a clonagem da função CloudAdmin como a base para a criação de novas funções personalizadas.

Criar uma função personalizada

  1. Entre no vCenter Server com cloudadmin@vsphere.local ou com um usuário com a função CloudAdmin.

  2. Navegue até a seção configuração de Funções e selecione Menu>Administração>Controle de Acesso>Funções.

  3. Selecione a função CloudAdmin e selecione o ícone de Ação clonar função.

    Observação

    Não clone a função Administrador porque você não pode usá-la. Além disso, a função personalizada criada não pode ser excluída por cloudadmin@vsphere.local.

  4. Forneça o nome desejado para a função clonada.

  5. Remova privilégios para a função e selecione OK. A função clonada está visível na lista de Funções.

Aplique uma função personalizada

  1. Navegue até o objeto que requer a permissão adicional. Por exemplo, para aplicar a permissão em uma pasta, navegue até Menu>VMs e Modelos>Nome da Pasta.

  2. Clique com o botão direito do mouse no objeto e selecione Adicionar Permissão.

  3. Selecione a Origem da Identidade no menu suspenso Usuário em que o grupo ou o usuário pode ser encontrado.

  4. Pesquise o usuário ou grupo depois de selecionar a origem de identidade na seção Usuário.

  5. Selecione a função que você deseja aplicar ao usuário ou grupo.

    Observação

    Tentar aplicar um usuário ou grupo a uma função que tenha privilégios maiores que o do CloudAdmin resultará em erros.

  6. Marque a Propagar para filhos, se necessário e selecione OK. A permissão adicionada é exibida na seção Permissões.

Acesso e identidade do VMware NSX Manager

Quando uma nuvem privada é provisionada pelo portal do Azure, os componentes de gerenciamento do SDDC (data center definido pelo software), como o vCenter Server e o VMware NSX Manager, são provisionados para os clientes.

A Microsoft é responsável pelo gerenciamento do ciclo de vida de dispositivos NSX, como dispositivos VMware NSX Manager e VMware NSX Edge. Eles são responsáveis por inicializar a configuração de rede, por exemplo, criar o gateway de Camada 0.

Você é responsável pela configuração da SDN (rede definida pelo software) VMware NSX, por exemplo:

  • Segmentos de rede
  • Outros gateways de Camada 1
  • Regras de firewall distribuídas
  • Serviços com estado, como o firewall do gateway
  • Balanceador de carga em gateways de Camada 1

Você pode acessar o VMware NSX Manager usando o usuário local interno "cloudadmin" atribuído a uma função personalizada, que fornece privilégios completos a um usuário para gerenciar o VMware NSX. Embora a Microsoft gerencie o ciclo de vida do VMware NSX, determinadas operações não são permitidas a um usuário. As operações não permitidas incluem editar a configuração de nós de transporte de host e borda ou iniciar uma atualização. Para novos usuários, a Solução VMware no Azure os implanta com um conjunto específico de permissões necessárias para esse usuário. O objetivo é fornecer uma clara separação de controle entre a configuração do painel de controle da Solução VMware no Azure e o usuário de nuvem privada da Solução VMware no Azure.

Para novas implantações de nuvem privada, o acesso VMware NSX é fornecido com um usuário local interno administrador da nuvem atribuído à função cloudadmin com um conjunto específico de permissões para uso apenas da funcionalidade VMware NSX-T Data Center em cargas de trabalho.

Permissões de usuário cloudadmin do VMware NSX

As permissões a seguir são atribuídas ao usuário cloudadmin no NSX da Solução VMware no Azure.

Observação

O usuário cloudadmin do VMware NSX na Solução VMware no Azure não é igual ao usuário cloudadmin mencionado na documentação do produto VMware. As permissões a seguir se aplicam à API de Política do VMware NSX. A funcionalidade da API do Manager pode ser limitada.

Categoria Tipo Operação Permissão
Rede Conectividade Gateways de camada 0
Gateways de camada 1
Segmentos		 Somente leitura
Acesso Completo
Acesso Completo
Rede Serviços de Rede VPN
NAT
Balanceamento de carga
Política de Encaminhamento
Estatísticas		 Acesso Completo
Acesso Completo
Acesso Completo
Somente leitura
Acesso Completo
Rede Gerenciamento de IP DNS
DHCP
Pools de endereços IP		 Acesso Completo
Acesso Completo
Acesso Completo
Rede Perfis Acesso Completo
Segurança Segurança Leste Oeste Firewall Distribuído
IDS e IPS Distribuídos
Firewall de Identidade		 Acesso Completo
Acesso Completo
Acesso Completo
Segurança Segurança Norte Sul Firewall de Gateway
Análise de URL		 Acesso Completo
Acesso Completo
Segurança Introspecção de Rede Somente leitura
Segurança Endpoint Protection Somente leitura
Segurança Configurações Acesso Completo
Inventário Acesso Completo
Solução de problemas IPFIX Acesso Completo
Solução de problemas Espelhamento de porta Acesso Completo
Solução de problemas Fluxo de rastreamento Acesso Completo
Sistema Configuração
Configurações
Configurações
Configurações		 Firewall de Identidade
Usuários e funções
Gerenciamento de Certificados (somente Certificado de Serviço)
Configurações da interface do usuário		 Acesso Completo
Acesso Completo
Acesso Completo
Acesso Completo
Sistema Todos os outros Somente leitura

Você pode exibir os privilégios concedidos à função cloudadminn da Solução VMware no Azure na nuvem privada VMware NSX da Solução VMware no Azure.

  1. Entre no NSX Manager.
  2. Navegue até Sistemas e localize Usuários e Funções.
  3. Selecione e expanda a função cloudadmin, encontrada em Funções.
  4. Selecione uma categoria como Rede ou Segurança para exibir as permissões específicas.

Observação

Nuvens privadas criadas antes de junho de 2022 mudarão da função admin para função cloudadmin. Você receberá uma notificação por meio da Integridade do Serviço do Azure, que incluirá a linha do tempo dessa alteração para que você possa alterar as credenciais NSX usadas na outra integração.

Integração do LDAP do NSX para RBAC (controle de acesso baseado em função)

Em uma implantação da Solução VMware no Azure, o VMware NSX pode ser integrado ao serviço de diretório externo do LDAP, para adicionar usuários ou grupos do diretório remoto e atribuir a eles uma função RBAC do VMware NSX, como a implantação local. Para obter mais informações sobre como habilitar a integração do LDAP do VMware NSX, confira a documentação do produto VMware.

Ao contrário da implantação local, nem todas as funções RBAC predefinidas do NSX são compatíveis com a Solução VMware no Azure para manter o gerenciamento de configuração do plano de controle de IaaS da Solução VMware no Azure separado da rede do locatário e da configuração de segurança. Para obter mais informações, confira a próxima seção, unções do RBAC do NSX com suporte.

Observação

A Integração do VMware NSX LDAP é compatível apenas com SDDC com o usuário “cloudadmin” do VMware NSX.

Funções RBAC do NSX com e sem suporte

Em uma implantação da Solução VMware no Azure, há suporte para as seguintes funções RBAC predefinidas do VMware NSX com integração do LDAP:

  • Auditor
  • Cloudadmin
  • Administrador de LB
  • Operador de LB
  • Administrador de VPN
  • Operador da Rede

Em uma implantação da Solução VMware no Azure, não há suporte para as seguintes funções RBAC predefinidas do VMware NSX com integração do LDAP:

  • Administrador Corporativo
  • Administrador de Rede
  • Administrador de Segurança
  • Administrador de Parceiros NetX
  • Administrador de Parceiros GI

Você pode criar funções personalizadas no NSX com permissões inferiores ou iguais à função CloudAdmin criada pela Microsoft. Veja a seguir os exemplos de como criar uma função "Administrador de Rede" e "Administrador de Segurança" com suporte.

Observação

A criação de uma função personalizada falhará, se você atribuir uma permissão não autorizada pela função CloudAdmin.

Criar função "Administrador de rede da AVS"

Use as etapas a seguir para criar essa função personalizada.

  1. Navegue até Sistema>Usuários e Funções>Funções.

  2. Clone o Administração de Rede e forneça o nome, Administrador de Rede da AVS.

  3. Modifique as permissões a seguir para "Somente Leitura" ou "Nenhum", conforme observado na coluna Permissão da tabela a seguir.

    Categoria Subcategoria Recurso Permissão
    Rede


    		 Conectividade

    Serviços de Rede    		 Gateways de camada 0
    Gateways de camada 0 > OSPF
    Política de Encaminhamento    		 Somente leitura
    Nenhum
    Nenhum

  4. Aplique as alterações e Salve a Função.

Criar função "Administrador de segurança da AVS"

Use as etapas a seguir para criar essa função personalizada.

  1. Navegue até Sistema>Usuários e Funções>Funções.

  2. Clone o Administração de Segurança e forneça o nome "Administrador de Segurança da AVS".

  3. Modifique as permissões a seguir para "Somente Leitura" ou "Nenhum", conforme observado na coluna Permissão da tabela a seguir.

Categoria Subcategoria Recurso Permissão
Rede Serviços de Rede Política de Encaminhamento Nenhum
Segurança


 Introspecção de Rede
Endpoint Protection
Configurações

Perfis de serviço		 Nenhum
Nenhum
Nenhum
  1. Aplique as alterações e Salve a Função.

Observação

A opção de configuração do Sistema>AD do Firewall de Identidade do VMware NSX não é compatível com a função personalizada NSX. A recomendação é atribuir a função Operador de Segurança ao usuário com a função personalizada, para permitir o gerenciamento do recurso IDFW (Firewall de Identidade) para esse usuário.

Observação

O recurso VMware NSX Traceflow não é compatível com a função personalizada do VMware NSX. A recomendação é atribuir a função Auditor ao usuário, juntamente com a função personalizada, para habilitar o recurso Traceflow para esse usuário.

Observação

A integração de automação do VMware Aria Operations com o componente NSX da Solução VMware no Azure requer que a função de "auditor" seja adicionada ao usuário com a função de cloudadmin do NSX Manager.

Próximas etapas

Após abordar os conceitos de acesso e identidade da Solução VMware no Azure, talvez você queira saber mais sobre: