Best practice generali - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice generali

Comunicazione

A partire dal 30 aprile 2024, VMware Cloud on AWS non sarà più rivenduto AWS né dai suoi partner di canale. Il servizio continuerà a essere disponibile tramite Broadcom. Ti invitiamo a contattare il tuo AWS rappresentante per i dettagli.

Importante

Molti dei VMware servizi descritti in questa guida vengono utilizzati in altre VMware soluzioni cloud o locali. I consigli e le best practice contenuti in questa guida sono specifici per VMware Cloud on AWS. pertanto potrebbero non essere applicabili ad altri ambienti.

Prendi in considerazione i seguenti AWS consigli per gestire l'identità e l'accesso alla tua infrastruttura VMware cloud:

  • Applica una policy di privilegio minimo. Usa il controllo degli accessi basato sui ruoli (RBAC) per concedere le autorizzazioni e gli accessi minimi necessari agli utenti per svolgere la loro funzione.

  • Quando possibile, concedi le autorizzazioni ai gruppi invece che a singoli utenti.

  • Evita di configurare utenti locali. Autentica gli utenti con un gestore dell'identità digitale federata esterno.

  • Configura l'autenticazione a più fattori per tutti gli utenti.

  • La tua policy in materia di password dovrebbe includere i requisiti di efficacia e rotazione della password.

  • Documenta una procedura rivoluzionaria per assumere il pieno controllo amministrativo sull' VMwareorganizzazione e sui servizi correlati. Il termine "break glass", che prende il nome dall'azione di rompere il vetro per attivare un allarme antincendio, si riferisce a un mezzo che consenta a una persona di ottenere rapidamente l'accesso amministrativo in circostanze eccezionali, utilizzando un processo approvato e verificato.

  • Se disponi di data center on-premise o di più istanze vCenter Server, usa la Hybrid Linked Mode per connettere l'istanza cloud di vCenter Server con il dominio vCenter Single Sign-On on-premise. Ciò consente di gestire le risorse cloud e on-premise da un'unica interfaccia vSphere Client.

  • Quando possibile, configura gli endpoint di gestione, come vCenter Server, HCX Cloud Manager e NSX Manager, in modo che siano accessibili solo dalle reti interne, anziché dalla rete Internet pubblica.

  • Non utilizzare credenziali locali, come l'account cloudadmin, per scopi amministrativi. Riserva questi account all'utilizzo nella procedura break-glass. Le azioni eseguite usando account utente amministrativi locali non possono essere attribuite a una persona specifica, quindi tali account possono essere utilizzati per apportare modifiche senza responsabilità.

  • Modifica le password per gli account locali, come utenti root e amministrativi, inserendo valori efficaci e archivia queste credenziali in modo sicuro in un archivio di password verificato. Stabilisci un processo di approvazione per concedere l'accesso a queste password.

  • Se le credenziali locali persistono per lunghi periodi, ad esempio per più mesi o più, stabilisci un processo per la rotazione delle credenziali (ad esempio, se utilizzi VMware HCX per estendere una rete).

Questi consigli si applicano a tutte le configurazioni del servizio per Cloud on VMware . VMware AWS Informazioni aggiuntive per ogni servizio sono riportate più avanti in questa guida.