LoginSignup
3
2

More than 1 year has passed since last update.

@sanjushi003

VMware Cloud on AWSとAWS Managed Microsoft ADを連携させてユーザー権限管理してみた

Last updated at Posted at 2022-07-15

1. はじめに

オンプレミス環境において、ユーザー権限の管理をActiveDirectryで実施するというのはよくあるケースかと思います。

ファイルやフォルダの閲覧権限の管理に利用したり、VMware仮想環境においてもvCenterへのアクセス権限やより細かいvSphereのアクセス許可(例えば管理者ユーザーAには仮想マシンの作成許可、一般ユーザーBは仮想マシン一覧の閲覧のみ許可、etc..)などを実現されているかと思います。

本ブログではVMware Cloud on AWS環境においてもオンプレミス同様に、
vCenterとActiveDirectoryと連携させてユーザー権限管理ができるという例をご紹介しようと思います。

VMware Cloud コンソールとActive Directoryの連携については、VMware Docsもご参考ください。

2. 全体アーキテクチャ概要

今回はVMware Cloud on AWSのvCenterと連携するActive Directoryとして、AWS Directory Serviceの1つである、AWS Managed Microsoft ADを利用しています。

AWS Managed Microsoft ADは、ENI経由で接続するConnected VPC内にデプロイしていますが、要件に応じてVMware Cloud on AWS内部の仮想マシンとしてActiveDirectoryをセットアップするという構成も可能かと思います。

image.png

3. vCenterにログインした際のユーザー毎のアクセス権限の違い

まずデフォルトの管理者ユーザーでvCenterにログインした場合は下図のように見えます。管理者ユーザーなのでvCenterやNSXなど管理系(共通系)仮想マシンも閲覧できます。

今回はワークロード用に「VM_Folder01」「VM_Folder02」を作成し、その配下に仮想マシンを作成しています。

image.png

次に、異なるアクセス権限を持つ2つのユーザーを作成し、それらのユーザーからvCenterにログインした場合は下図のように見えます。
片方のユーザー「vmcuser01」は「VM_Folder01」配下の仮想マシンのみ閲覧および操作が可能となり、
もう片方のユーザー「vmcuser02」は「VM_Folder02」配下の仮想マシンのみ閲覧および操作が可能となっています。
image.png

4. Active Directory設定およびvCenter連携

image.png

今回セットアップしたActive Directoryの設定画面は次のようになっています。
image.png

本環境ではAWS Managed Microsoft AD を利用

ActiveDirectoryとvCenterの連携自体はオンプレミス環境と差異はありませんが、次のように設定しています。
image.png

vCenterから対象のドメインを追加

今回作成したユーザーおよびグループはvmcuser01,vmcgroup02などです。
Admin, Administrator, AwsDsDnsSvcAcct$などはAWS Managed Microsoft ADのサービス側で作成されたユーザーです。
image.png

VMware Cloud on AWSのSDDC側からも、vCenterからActiveDirectoryと疎通できるようにDNS設定をアップデートしておきます。
image.png

4. さいごに

VMware Cloud on AWS環境でも、オンプレミスVMware仮想環境と同様にActiveDirectoryと連携することができます。

今回はAWS Managed Microsoft ADを利用しましたが、利用するActiveDirectoryはVMware Cloud on AWS環境内の仮想マシンにセットアップすることも可能ですし、Amazon EC2にセットアップすることも可能です。
もしくは、オンプレミスのActiveDirectoryと連携させることも可能かと思います。

VMware仮想環境におけるユーザー権限管理については、次のVMware公式ガイド(VMware Docs)が詳しいのであわせてご参照ください。

image.png

5. 参考資料

VMware Cloud on AWS での vSphere 管理 (VMware Docs)
https://docs.vmware.com/jp/VMware-Cloud-on-AWS/services/com.vmware.vsphere.vmc-aws-manage-data-center-vms.doc/GUID-8CB616ED-8DEF-452A-B823-6471E52816FE.html

vSphere のアクセス許可とユーザー管理タスク (VMware Docs)
https://docs.vmware.com/jp/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-5372F580-5C23-4E9C-8A4E-EF1B4DD9033E.html

vSphere での認可について (VMware Docs)
https://docs.vmware.com/jp/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-74F53189-EF41-4AC1-A78E-D25621855800.html

[VMC on AWS] cloudadmin@ vmc.local 以外のユーザーが追加できない (82395) (VMware KB)
https://kb.vmware.com/s/article/82395?lang=ja

3
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
2