VMware Engine の権限を昇格させる

Google Cloud VMware Engine の権限は、通常の操作を行うために必要な権限を vCenter ユーザーに付与します。一部の管理機能には、プライベート クラウド vCenter の追加の権限が必要になります。このようなタスクを行う場合は、vCenter ユーザーの権限を限られた昇格期間だけ昇格させることができます。

権限を昇格させる理由となるものは以下のとおりです。

  • ID ソースの構成
  • ユーザー管理
  • 分散ポートグループの削除
  • サービス アカウントの作成

権限昇格の仕組み

追加の ID プロバイダが vCenter で構成されている場合にのみ、リモート ユーザーの権限を昇格させることができます。権限の昇格には、選択したユーザーを vSphere に組み込まれた管理者グループに追加する必要があります。

管理者権限を必要とする追加の ID ソースのユーザーは、CloudOwner グループのメンバーとして追加する必要があります。CloudOwner グループよりも少ない権限を与えるには、追加のグループを作成して、そのグループにユーザーを割り当てます。

権限を昇格する

  1. VMware Engine ポータルにアクセスします
  2. [Resources] ページを開きます。
  3. 権限を昇格するプライベート クラウドを選択します。
  4. [Summary] ページの [Change vSphere privileges] で、[Elevate] をクリックします。
  5. vSphere ユーザータイプを選択します。Active Directory などの構成済みの ID ソースを使用するには、[Remote identity] を選択して、ユーザーとプリンシパル名(UPN)の形式でユーザーとドメインを入力します(例: user@domain)。
  6. リストから昇格期間を選択します。タスクを完了できる最短期間を選択します。
  7. リスクを理解していることを確認するチェックボックスをオンにします。
  8. [Confirm] をクリックします。

権限の昇格が始まり、選択した期間の終わりまで継続します。この間、プライベート クラウド vCenter にログインして特定の管理タスクを行うことができます。

権限昇格を延長する

タスクを完了するためにさらに時間が必要な場合は、権限昇格の期間を延長できます。管理タスクを完了できるよう、追加の昇格期間を選択します。

  1. [Resources] ページで、権限昇格を延長するプライベート クラウドを選択します。
  2. [Summary] タブで、[Extend privilege elevation] をクリックします。
  3. リストから昇格期間を選択します。新しい昇格期間を確認します。
  4. [Save] をクリックします。

権限を復元する

権限は、昇格期間が終了すると自動的に復元されます。昇格期間が終了する前に管理タスクを完了した場合は、権限を復元することをおすすめします。

  1. [Resources] ページで、権限を復元するプライベート クラウドを選択します。
  2. [Restore] をクリックします。
  3. [OK] をクリックします。

禁止されている操作

VMware Engine によって禁止された操作のいずれかが検出されると、サービスを中断させることなく変更は元に戻されます。

クラスタ操作

次のクラスタ アクションは禁止されています。

  • vCenter からクラスタを削除する。
  • クラスタの vSphere High Availability(HA)を変更する。
  • vCenter のクラスタにホストを追加する。
  • vCenter のクラスタからホストを削除する。
  • クラスタの vSphere Distributed Resource Scheduler(DRS)を変更する。

ホスト操作

次のホスト アクションは禁止されています。

  • ESXi ホストでデータストアを追加または削除する。
  • ホストから vCenter エージェントをアンインストールする。
  • ホスト構成を変更する。
  • ホスト プロファイルに対する変更を行う。
  • ホストをメンテナンス モードにする。

ネットワーク操作

次のネットワーク操作は、vCenter Server で禁止されています。

  • プライベート クラウド内のデフォルトの分散仮想スイッチ(DVS)を削除する。
  • デフォルトの DVS からホストを削除する。
  • DVS 設定をインポートする。
  • DVS 設定を再構成する。
  • DVS をアップグレードする。
  • 管理ポートグループを削除する。
  • 管理ポートグループを編集する。

次のネットワーク操作は、NSX-T Manager で禁止されています。

  • 新しい NSX-T Edge ノードを追加する。
  • 既存の NSX-T Edge ノードを変更する。

ロールと権限の操作

ロールと権限に対する次の操作は禁止されています。

  • 管理オブジェクトに対する権限を変更または削除する。
  • デフォルトのロールを変更または削除する。
  • ロールの権限を Cloud-Owner-Role よりも高い権限にする。
  • vCenter の管理者グループにユーザーとグループを追加する。
  • Active Directory ユーザーとグループを vCenter の管理者グループに追加する。

その他の操作

次の操作も禁止されています。

  • 以下のデフォルト ライセンスを削除する。
    • vCenter Server
    • ESXi ノード
    • NSX-T
    • HCX
  • 管理リソースプールを変更または削除する。
  • 管理 VM のクローンを作成する。
  • ワークロード VM に管理ネットワークを割り当てる。
  • ワークロード VM に対して管理ネットワークの IP アドレス範囲の IP アドレスを使用する。
  • データセンターの名前を変更する。
  • クラスタの名前を変更する。
  • vCenter Server Appliance Management Interface(VAMI)を使用して syslog 転送を構成する。
  • vCenter ユーザー インターフェースによる、ESXi ホスト上での Syslog 転送の構成。このタスクのサポート チケットを開いてください。
  • プライベート クラウド vCenter を Active Directory ドメインに参加させる。
  • VMware ツール、API 呼び出し、管理アプライアンス(vCenter/NSX Manager)のいずれかを使用して、vCenter または NSX-T のログイン認証情報をリセットする。なお、VMware Engine ポータルのプライベート クラウドの詳細ページで、生成された認証情報を取得またはリセットできます。パスワードの更新も可能です。
  • vSphere Client で統計情報の収集間隔またはレベルを変更する。

次のステップ