aws management portal for vcenter - ユーザーガイド...• dhcp: connector の dhcp...

AWS ManagementPortal for vCenter

ユーザーガイド

AWS Management Portal for vCenter ユーザーガイド

AWS Management Portal for vCenter: ユーザーガイドCopyright © 2021 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon の商標およびトレードドレスは、Amazon のものではない製品またはサービスと関連付けてはならず、また、お客様に混乱を招くような形や Amazon の信用を傷つけたり失わせたりする形で使用することはできません。Amazon が所有しない商標はすべてそれぞれの所有者に所属します。所有者は必ずしも Amazon と提携していたり、関連しているわけではありません。また、Amazon 後援を受けているとはかぎりません。


Table of ContentsAWS Management Portal for vCenter とは ............................................................................................. 1

Usage ....................................................................................................................................... 1Limitations ................................................................................................................................. 1Requirements ............................................................................................................................. 2開始方法 .................................................................................................................................... 2

セットアップ ..................................................................................................................................... 3AWS Management Portal for vCenter for AWS Management Portal for v ............................................. 3時刻同期の設定 .......................................................................................................................... 4（オプション）ネットワーク設定の構成 ......................................................................................... 4オプション 1: フェデレーション認証プロキシ ................................................................................. 5

必要なアカウントおよびユーザーの作成 ................................................................................. 6信頼関係のセットアップ ...................................................................................................... 7コネクタ仮想アプライアンスのデプロイ ................................................................................. 9コネクタの設定 .................................................................................................................. 9

オプション 2: SAML ベースの認証 .............................................................................................. 11必要なアカウントおよびユーザーの作成 ............................................................................... 12信頼関係のセットアップ .................................................................................................... 14コネクタ仮想アプライアンスのデプロイ ............................................................................... 15コネクタの設定 ................................................................................................................. 16ADFS のセットアップ ....................................................................................................... 17SSO の設定 ..................................................................................................................... 20

AWS リソースの管理 ........................................................................................................................ 23管理者の管理 ............................................................................................................................ 23VPC とサブネットの管理 ........................................................................................................... 24セキュリティグループの管理 ...................................................................................................... 25環境を管理する ......................................................................................................................... 26ユーザーアクセス許可の管理 ...................................................................................................... 27

EC2 インスタンスの管理 ................................................................................................................... 29リージョンを表示する ............................................................................................................... 29環境の表示 ............................................................................................................................... 30キーペアの管理 ......................................................................................................................... 30テンプレートの管理 .................................................................................................................. 31EC2 インスタンスのデプロイ ..................................................................................................... 32EC2 インスタンスの表示 ........................................................................................................... 32EC2 インスタンスへの接続 ........................................................................................................ 33EC2 インスタンスの停止と起動 .................................................................................................. 33EC2 インスタンスの再起動 ........................................................................................................ 34EC2 インスタンスからイメージを作成する ................................................................................... 34EC2 インスタンスの削除 ........................................................................................................... 34

仮想マシンの移行 .............................................................................................................................. 36Prerequisites ............................................................................................................................ 36Limitations ............................................................................................................................... 37VM Import の承認 ..................................................................................................................... 37仮想マシンの移行 ...................................................................................................................... 37インスタンスのバックアップ ...................................................................................................... 38移行した EC2 インスタンスのエクスポート .................................................................................. 39移行時のトラブルシューティング ................................................................................................ 40

コネクタの管理 ................................................................................................................................. 42マネジメントコンソールへのアクセス .......................................................................................... 42仮想マシンコンソールへのログイン ............................................................................................. 42コネクタパスワードのリセット ................................................................................................... 43キーの更新 ............................................................................................................................... 43コネクタの監視 ......................................................................................................................... 44AWS への問題のレポート .......................................................................................................... 45

iii


AWSConnector ポリシーを更新する ............................................................................................ 45一般的なトラブルシューティング ................................................................................................ 46アップグレード時のトラブルシューティング ................................................................................. 47信頼された SSL 証明書のインストール ........................................................................................ 48信頼されていない SSL 証明書の検証 ........................................................................................... 48コネクタのアンインストール ...................................................................................................... 49

ドキュメント履歴 .............................................................................................................................. 50....................................................................................................................................................... lii

iv

AWS Management Portal for vCenter ユーザーガイドUsage

AWS Management Portal for vCenterとは

AWS Management Portal for vCenter は、VMware vCenter から AWS リソースを作成し管理するための、シンプルで使いやすいインターフェイスを備えています。詳細については、「」を参照してください。vCenter 向け AWS マネジメントポータル。

Note

AWS Server Migration Service (SMS) を使用して VM を vCenter 環境から AWS に移行することをお勧めします。SMS は、徐々にオンプレミス VM のレプリケーションを行い、それらをAmazon machine images (AMIs) に変換しして、移行プロセスを自動化します。移行中、継続してオンプレミス VM を使用することができます。AWS SMS の詳細については、「」を参照してください。AWS Server Migration Service。

Usage• 管理者は、AWS ネットワークの管理、環境を使用した AWS リソースの整理、環境レベルでのユーザー

へのアクセス許可の付与を行うことができます。• ユーザーは、読み取りのアクセス許可がある環境でのインスタンスの表示、変更のアクセス許可がある

環境での EC2 インスタンスの作成と管理を行うことができます。• ユーザーは、vCenter 用の AWS Connector を使用して AWS に仮想マシンをインポートすることができ

ます。

Limitations• 各 vCenter は、1 つの AWS アカウントと 1 つの認証プロバイダに接続できます。• ユーザーは、vCenter へのログインに使用できるアカウントを持っていない場合、管理ポータルにアク

セスできません。vCenter にログインして管理ポータルを開いたとき、ユーザーは、管理者から環境へのアクセス許可が付与されている場合に限り、その環境とそこで作成された AWS リソースを表示できます。管理者は、ユーザーのドメインとユーザー名が所定の条件を満たす場合に限り、ユーザーにアクセス許可を付与できます。ドメインとユーザー名では大文字と小文字が区別されます。ユーザーがドメインユーザーである場合は、domain\user は 32 文字までにする必要があります。ユーザーがローカルユーザーである場合は、user は 32 文字までにする必要があります。domain と user の値はどちらも、文字で始め、次の文字だけを含める必要があります。a～z、A～Z、0～9、ピリオド (.)、アンダースコア (_)、およびダッシュ (-)。

• 管理ポータルは、主に Amazon EC2 リソースをサポートします。今後のリリースでは、追加のサービスに関するリソースがサポートされる予定です。

• EC2-Classic では EC2 インスタンスを起動できません。VPC でインスタンスを起動する必要があります。

• これは、AWS リソースを作成し管理するための包括的なツールではありません。管理ポータルを使用すると、vCenter ユーザーは基本的なタスク (VPC やサブネットの作成、EC2 インスタンスの起動など) をすぐに開始することができます。より高度なタスクを実行するには、ユーザーは AWS マネジメントコンソール、AWS CLI、または AWS SDK を使用する必要があります。詳細については、「」を参照してください。Amazon EC2 へのアクセス()Amazon EC2 ユーザーガイド。

1

http://aws.amazon.com/ec2/vcenter-portal/http://aws.amazon.com/server-migration-service/https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html#access-ec2

AWS Management Portal for vCenter ユーザーガイドRequirements

Requirements• AWS アカウント

• vCenter バージョン 5.1、5.5、または 6.0. (ウェブクライアントは vCenter 5.5 と 6.0 のみでサポートされています)。

• Internet Explorer バージョン 10

• Internet Explorer はクッキーを許可するように設定

• ネットワーク接続:• DHCP: コネクタから DHCP サーバーへのアクセスを許可します。• DNS: 名前解決のためにのポート 53 への接続を開始することをコネクタに許可します。ファイア

ウォールがこれらの接続に対してステートフルであることを確認します。• HTTPS 出力: コネクタがポート 443 への接続を開始することを許可します。ファイアウォールがこれ

らの接続に対してステートフルであることを確認します。• ICMP 出力: ICMP を使用したコネクタの出力接続を許可します。• NTP: コネクタがポート 123 への接続を許可して NTP サーバーと時間を同期します。ファイアウォー

ルがこれらの接続に対してステートフルであることを確認します。

開始方法• AWS Management Portal for vCenter Youl AWS Management Portal (p. 3)• AWS Management Portal for vCenter を使用した AWS リソースの管理 (p. 23)• AWS Management Portal for vCenter を使用した EC2 インスタンスの管理 (p. 29)• vCenter 用 AWS コネクタを使用して仮想マシンを Amazon EC2 に移行する (p. 36)

2

AWS Management Portal for vCenter ユーザーガイドAWS Management Portal for vCenter

for AWS Management Portal for v

AWS Management Portal for vCenterYoul AWS Management Portal

管理ポータルをセットアップするときは、組織内のユーザーが AWS リソースにアクセスできるようにします。このプロセスでは、アカウントの作成、管理ポータルと認証プロバイダーの間の信頼のセットアップ、コネクタのデプロイと構成を行います。

管理ポータルをセットアップするには、以下のタスクを実行します。

Tasks

• AWS Management Portal for vCenter for AWS Management Portal for v (p. 3)• 時刻同期の設定 (p. 4)• (オプション) ネットワーク設定の構成 (p. 4)

Note

AWS Server Migration Service (SMS) を使用して VM を vCenter 環境から AWS に移行することをお勧めします。SMS は、徐々にオンプレミス VM のレプリケーションを行い、それらをAmazon machine images (AMIs) に変換しして、移行プロセスを自動化します。移行中、継続してオンプレミス VM を使用することができます。AWS SMS の詳細については、「」を参照してください。AWS Server Migration Service。

AWS Management Portal for vCenter for AWSManagement Portal for v

2 つの認証プロバイダー (vCenter 用 AWS Connector または SAML 2.0 をサポートする ID プロバイダー(IdP) のどちらかの認証プロバイダーを選択することができます。管理ポータルのセットアッププロセスは、選択する認証プロバイダーによって異なります。次の表でオプションについて説明します。選択する認証プロバイダーに応じた指示に従ってください。

認証プロバイダー説明

フェデレーション認証プロキシ (p. 5) コネクタは、ユーザーを認証するように設定できます。このオプションに関する前提条件はありません。セットアッププロセスの一環として、管理ポータルとコネクタの間に信頼関係をセットアップします。

このオプションは、SAML 2.0 をサポートする IdPを使用しない組織のために用意されています。

SAML ベースの認証 (p. 11) SAML 2.0 は、シングルサインオン（SSO）のために特別に設計されたオープンスタンダードを提供します。これにより、ご使用の IdP で認証されたユーザーが管理ポータルにアクセスできるようになります。このオプションを使用するには、ま

3

http://aws.amazon.com/server-migration-service/

AWS Management Portal for vCenter ユーザーガイド時刻同期の設定

認証プロバイダー説明ず、組織の IdP をセットアップする必要があります。セットアッププロセスの一環として、SAMLプロバイダーをセットアップし、管理ポータルとAWS の間に信頼関係を設定します。

SAML のメリットの詳細については、「Advantages of SAML」を参照してください。

認証プロバイダーを選択したら、セットアッププロセスを完了します。別の認証プロバイダーを選択するには、セットアッププログラムの最初のページに戻って [Reset Trust Relationship] をクリックするか、概要ページで [Reset Trust Relationship] を展開し、[I acknowledge that I want to reset my trust relationshipsconfiguration] をクリックしてから [Reset Trust Relationship] をクリックします。

時刻同期の設定コネクタ仮想アプライアンスは、その ESX/ESXi サーバーと時刻を同期します。コネクタでは、デプロイ先の ESXi サーバーで Network Time Protocol (NTP) が設定されている必要があります。

セットアッププログラムで認証情報の登録に失敗した場合、時刻同期に問題が発生する可能性があります。確認するには、debug-file.log次の文字列を検索します。ntpdate, -qv, pool.ntp.org。オフセットが 15 秒を超える場合、ESX/ESXi サーバーの NTP を設定してから、コネクタを再起動します。

（オプション）ネットワーク設定の構成各種ネットワーク設定は、コネクタのコマンドラインインターフェイス (CLI) を使用して構成できます。

コネクタ CLI を使用してネットワーク設定を更新するには

1. vSphere クライアントでコネクタ VM を見つけ、右クリックして、[Open Console] を選択します。2. パスワード ec2-user を使用し、ec2pass としてログインします。3. sudo setup.rb コマンドを実行します。このコマンドによって、次のメニューが表示されます。

Choose one of the following options1. Reset password2. Reconfigure network settings3. Restart services4. Factory reset5. Delete unused upgrade-related files6. Enable/disable SSL certificate validation7. Display connector's SSL certificate8. Generate log bundle9. ExitPlease enter your option [1-9]:

4. 2 を入力して、Enter キーを押します。コマンドによって、次のメニューが表示されます。

Reconfigure your network:1. Renew or acquire a DHCP lease2. Set up a static IP3. Set up a web proxy for AWS communication4. Set up a DNS suffix search list5. Exit

4

http://saml.xml.org/advantages-saml

AWS Management Portal for vCenter ユーザーガイドオプション 1: フェデレーション認証プロキシ

Please enter your option [1-5]:

次のタスクを実行するには、これらのオプションを使用します。

1. DHCP リースを更新するか、静的 IP アドレスをセットアップした後に DHCP を再度有効にします。

2. コネクタの静的 IP アドレスをセットアップします。プロンプトが表示されたら、静的 IP アドレス、ネットマスク、ゲートウェイ、および DNS サーバーを入力します。

3. 企業ウェブプロキシを使用するように、コネクタを設定します。プロンプトが表示されたら、プロキシ IP アドレス、ポート、およびオプションのユーザー名とパスワードを入力して、プロキシにログインします。ウェブプロキシに認証を使用する必要がある場合、コネクタはパスワードベースの認証のみをサポートすることに注意してください。

Note

このオプションを使用する場合、https://ip_address/ (ip_address はコネクタ管理コンソールの IP アドレス) を使用してコネクタにログインし、初期パスワードを設定済みである必要があります。

4. ESX ホストから VM を移行できるように、DNS サフィックス検索リストを設定します。vCenterが完全修飾ドメイン名または IP アドレスを使用してすべての ESX ホストを表示する場合は、この手順を実行する必要はありません。

5. IP アドレスやプロキシ設定が変更された場合は、次のようにコネクタを再登録します。

a. ウェブブラウザを使用して、コネクタ管理コンソールを開きます。b. ダッシュボードから、[Register the Connector] をクリックします。c. 登録ウィザードの指示に従って、登録を完了します。

オプション 1: フェデレーション認証プロキシvCenter 用 AWS Connector を使用してユーザーを認証するように管理ポータルをセットアップできます。

ユーザーは AWS リソースに直接アクセスできません。その代わりに、vSphere クライアントが vCenterServer からユーザーの情報を取得し、そのユーザー用に一時的な AWS セキュリティ認証情報を取得するための AWS Identity and Access Management (IAM) ロールを引き受けます。次の図は、このプロセスを示したものです。

フェデレーション認証プロキシ

1. ユーザーは、vCenter にサインインし、[Home]、[AWS Management Portal] の順にクリックします。vSphere クライアントが、コネクタに認証リクエストを送信します。

2. コネクタが、ユーザーを認証します。

5

AWS Management Portal for vCenter ユーザーガイド必要なアカウントおよびユーザーの作成

3. コネクタは、AWS Security Token Service (AWS STS) に対して一時的なセキュリティ認証情報をリクエストします。

4. AWS STS が、コネクタに、ユーザー用の一時的なセキュリティ認証情報を送信します。5. ユーザーは、管理者により割り当てられたアクセス許可に基づく AWS リソースへのアクセスを許可さ

れます。

Tasks


1. 必要なアカウントおよびユーザーの作成 (p. 6)2. 信頼関係のセットアップ (p. 7)3. コネクタ仮想アプライアンスのデプロイ (p. 9)4. コネクタの設定 (p. 9)

必要なアカウントおよびユーザーの作成最初に、管理ポータルで必要なアカウントとユーザーを作成します。

必要なアカウントおよびユーザーを作成するには

1. 組織の AWS アカウントをまだお持ちでない場合は、次に説明する手順に従ってアカウントを作成してください。

a. https://portal.aws.amazon.com/billing/signup を開きます。b. オンラインの手順に従います。

サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて確認コードを入力することが求められます。

セットアッププロセスは、AWS アカウントまたは IAM ユーザーの認証情報を使用して完了できます。AWS Identity and Access Management (IAM) の詳細については、「」を参照してください。IAMユーザーガイド。IAM ユーザーが管理ポータルをセットアップできるようにするには、次のポリシーで指定されたアクションを使用するアクセス許可をそのユーザーに付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:*", "amp:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketAcl", "s3:GetBucketLocation", "s3:GetBucketAcl" ], "Resource": "arn:aws:s3:::export-to-s3-*" },

6

http://portal.aws.amazon.com/billing/signuphttps://docs.aws.amazon.com/IAM/latest/UserGuide/https://docs.aws.amazon.com/IAM/latest/UserGuide/

AWS Management Portal for vCenter ユーザーガイド信頼関係のセットアップ

{ "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": [ "arn:aws:s3:::*" ] } ]}

2. の作成AWS オーセンティケータープロバイダーアカウントこれは、コネクタが信頼ロールを引き受けてユーザーを認証するために使用する IAM ユーザーです。

a. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。b. [Navigation] ペインで [Users] をクリックします。c. [Add user] をクリックします。d. リポジトリの []ユーザーの追加[] ページで、ユーザー名を入力し、[プログラムによるアクセス] を

クリックし、[] をクリックします。次へ: アクセス許可。e. [Attach existing policies directly (既存のポリシーを直接アタッチ)] を選択します。f. 検索フィールドに AWSConnector と入力します。[] のチェックボックスをオンにします。AWS

コネクタポリシーをクリックし、[] をクリックします。次へ: 確認。g. [Create user] をクリックします。h. このアカウントの認証情報を安全な場所に保存してから、[Close] をクリックします。

Important

これらの認証情報は、コネクタのセットアッププロセスを完了するために必要になります。

3. の作成vCenter Service アカウントこれは、コネクタが vCenter との通信に使用するローカルまたはドメインユーザーです。アカウントにランダムな一意のパスワードを指定します。この時点ではこのユーザーに vCenter 権限を手動で割り当てないでください。このユーザーには、コネクタのセットアッププロセス中にvApp エクスポート権限を割り当てます。コネクタのセットアッププロセスが終了したら、vCenter インベントリの特定の部分にこの権限を制限できる点に注意してください。

Important

このアカウントの認証情報を安全な場所に保存します。これは、コネクタのセットアッププロセスを完了するために必要です。

IdP、vCenter、または Windows のうち、最も都合の良い方法を使用して、このユーザーを作成できます。ローカルユーザーまたはドメインユーザーの作成の詳細については、次のドキュメントを参照するか、vCenter または IdP の管理者にお問い合わせください。

• Active Directory: 新しいユーザーアカウントを作成する• Windows の場合: ローカルユーザーアカウントを作成する• vCenter 5.5 vCenter Single Sign-On ユーザーの追加(デフォルトのドメインはvsphere.local)• vCenter 5.1: vCenter シングルサインオンユーザーの追加(デフォルトのドメインはSystem-Domain)

• vCenter サーバアプライアンス：vCenter Server アプライアンスでローカルユーザーアカウントを作成する

信頼関係のセットアップ次の手順に従って、管理ポータルとコネクタの間に信頼関係をセットアップします。

7

https://console.aws.amazon.com/iam/http://technet.microsoft.com/en-us/library/cc732336.aspxhttp://technet.microsoft.com/en-us/library/cc770642.aspxhttps://docs.vmware.com/en/VMware-vSphere/5.5/com.vmware.vsphere.security.doc/GUID-72BFF98C-C530-4C50-BF31-B5779D2A4BBB.htmlhttps://pubs.vmware.com/vsphere-51/index.jsp#com.vmware.vsphere.security.doc/GUID-72BFF98C-C530-4C50-BF31-B5779D2A4BBB.htmlhttps://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.vcsa.doc/GUID-533AE852-A1F9-404E-8AC6-5D9FD65464E5.htmlhttps://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.vcsa.doc/GUID-533AE852-A1F9-404E-8AC6-5D9FD65464E5.html


信頼関係をセットアップするには

1. AWS Management Portal for vCenter Youl AWS Management Portal設定コンソール。

Tip

セットアッププロセスをすでに完了しているが、認証プロバイダーを変更する場合は、概要ページに移動して [Reset Trust Relationship] を展開し、[I acknowledge that I want to resetmy trust relationships configuration] をクリックしてから [Reset Trust Relationship] をクリックします。

2. [Get started now] をクリックします。3. [AWS Management Portal for vCenter Configuration] ページで、認証プロバイダーとして AWS

Connector を選択します。4. [Configure the Trust Relationship] ページで、次のいずれかを実行します。

オプション 1: 信頼のセットアップ

a. AWS 認証プロバイダーアカウントとして作成した IAM ユーザーの名前を指定します。b. （オプション）AMP 信頼ロール、AMP サービスロール、インポートサービスロールのポリシー

を確認します。c. [I agree that AWS Management Portal for vCenter may create the above roles on my behalf] を選

択します。d. [Save and Continue] をクリックします。

オプション 2: 認証プロバイダーの変更

認証プロバイダーとして SAML ベースの認証プロバイダーを選択済みである場合は、[Reset TrustRelationship] をクリックします。リセットした後で、セットアッププロセスを再び開始することができます。AWS Connector を選択してから、信頼をセットアップします。

5. リポジトリの []管理者を追加するページで、管理ポータルの管理者として組織のユーザーを 1～5 名追加し、保存して続行。ローカルユーザーとドメインユーザーの両方を指定できることに注意してください。

Important

ドメインとユーザー名では大文字と小文字が区別されます。

domain\user 形式を使用します。ローカルユーザーの場合、domain\ はオプションです。ドメインユーザーの場合、domain\user を 32 文字以内で指定する必要があります。ローカルユーザーの場合、user を 32 文字以内で指定する必要があります。domain と user の名前はどちらも文字で始まる必要があり、使用できる文字は次のとおりです。a～z、A～Z、0～9、ピリオド (.)、アンダースコア(_)、およびダッシュ (-)。

ここでは、少なくとも 1 人の管理者を追加する必要がありますが、後で他のユーザーを管理者として追加できる点に注意してください。詳細については、「管理者の管理 (p. 23)」を参照してください。

6. [Create an AMP Connector Key] ページで、AMP コネクタキーの名前を入力し、[Create] をクリックします。

7. [Review Your Configuration] ページで、[Download Configuration] をクリックします。それにより、信頼関係の設定が格納されたファイルがダウンロードされます。このファイルを安全な場所に保存します。このファイルは、コネクタのデプロイプロセスを完了するために必要になります。[Finish] をクリックします。

漏洩したと思われる場合は、新しい AMP 信頼ロールまたは AMP コネクタキーを作成できます。8. [AWS Management Portal Setup] ページで、現在のセットアップの設定を確認し、編集することがで

きます。

8

https://amp.aws.amazon.com/VCPlugin.html#setup

AWS Management Portal for vCenter ユーザーガイドコネクタ仮想アプライアンスのデプロイ

コネクタ仮想アプライアンスのデプロイ管理ポータルでは、コネクタを展開および構成する必要があります。コネクタは、管理者とアクセス許可を管理します。

コネクタは、仮想アプライアンスとしてパッケージ化されています。コネクタをデプロイするには、次の手順を実行します。

コネクタ仮想アプライアンスをデプロイするには

1. VMware 管理者として vCenter にサインインします。2. [] からファイル[] メニューで []OVF テンプレートのデプロイ。次の URL をファイルまたは URL から

のデプロイ[] フィールドで [] をクリックします。次:

https://s3.amazonaws.com/aws-connector/AWS-Connector.ova

(オプション) ダウンロードを確認するには、次の MD5 および SHA256 チェックサムを使用します。

https://s3.amazonaws.com/aws-connector/AWS-Connector.ova.md5sumhttps://s3.amazonaws.com/aws-connector/AWS-Connector.ova.sha256sum

3. ウィザードを終了します。[Disk Format] ページで、いずれかのシックプロビジョニングディスクタイプを選択します。[] を選択することをお勧めします。厚手プロビジョニング熱心ゼロ化これは、最高のパフォーマンスと信頼性を備えているため、ただし、ディスクのフォーマットに数時間かかります。選択しないシン・プロビジョニングこのオプションではデプロイは速くなりますが、ディスクパフォーマンスは大幅に低下します。詳細については、VMware のドキュメントでサポートされている仮想ディスクのタイプを確認してください。

4. vSphere クライアントのインベントリツリーで新しくデプロイされたテンプレートを探して右クリックし、電源 > 電源オン。テンプレートを再度クリックし、[] を選択します。Open Console。コンソールに、コネクタ管理コンソールの IP アドレスが表示されます。IP アドレスを安全な場所に保存します。このアドレスは、コネクタのセットアッププロセスを完了するために必要になります。

Note

DHCP サーバーがない場合は、静的 IP アドレスを設定する必要があります。詳細については、「（オプション）ネットワーク設定の構成 (p. 4)」を参照してください。

コネクタの設定セットアッププロセスを完了するには、ウェブブラウザを開いて次の手順を実行します。

コネクタ管理コンソールを使用してコネクタを設定するには

1. ウェブブラウザから、https://にアクセスします。ip_address/, ここでip_addressは、以前に保存したコネクタ管理コンソールの IP アドレスです。

Tip

ブラウザがサイトの証明書を確認できない場合、サイトが信頼されていないという通知が表示されます。証明書を確認するか（「信頼されていない SSL 証明書の検証 (p. 48)」を参照）、独自の証明書と置き換えることができます（「信頼された SSL 証明書のインストール (p. 48)」を参照）。

2. [Log in to Connector] ダイアログボックスで、vCenter Server の IP アドレスまたはホスト名を入力し、[Log in] をクリックします。vCenter のホスト名は 32 文字以内でなければなりません。このため、それよりも短いホスト名か IP アドレスを指定します。

9

http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1022242http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1022242

AWS Management Portal for vCenter ユーザーガイドコネクタの設定

プロンプトが表示されたら、パスワードを作成します。このパスワードは、次回コネクタ管理コンソールにログインするときに使用します。

Note

誤ったパスワードを 20 回入力するとロックされ、パスワードをリセットする必要があります。詳細については、「コネクタパスワードのリセット (p. 43)」を参照してください。

3. 初めてコネクタにログインした場合、登録ウィザードが自動的に開始されます。そうでない場合は、[Register the Connector] をクリックします。

4. 設定ファイルをダウンロードした場合は、以下を実行します。

1. [Upload the configuration file] をクリックし、設定ファイルを選択して [Next] をクリックします。2. [vCenter Service Account Credentials] ページで、必要なアカウントおよびユーザーの作

成 (p. 6) で作成した vCenter サービスアカウントの認証情報を入力し、[Next] をクリックします。ドメインユーザーの場合、domain\username または username@domain 形式を使用します。

3. [AWS Credentials] ページで、「信頼関係のセットアップ (p. 7)」で選択した AWS サービスアカウントの認証情報を入力します（VM のインポートには同じ IAM ユーザーを使用するか、AWSConnector ポリシーがアタッチされた別の IAM ユーザーを使用することができます）。[Next] をクリックします。

Note

IAM ユーザーの AWSConnector ポリシーが最新のものではないというエラーが表示された場合は、ポリシーを更新する必要があります。詳細については、「AWSConnector ポリシーを更新する (p. 45)」を参照してください。

4. [Register Plugin] ページで、[I agree to install the vCenter SSL certificates on this connector] をクリックします。このオプションをオフにしない限り、コネクタの自動アップグレードが実行されます。[Register] をクリックして、vCenter Server の証明書をインストールします。certificate. コネクタの認証プロバイダーは、この証明書が表示された場合にのみ vCenter Server に応答します。

これを行わない場合は、次のようにセットアップを完了します。

1. [Enter the configuration manually] をクリックし、先ほど選択したのと同じ設定タイプを選択して[Next] をクリックします。

2. 先ほど保存した AMP コネクタキーを入力し、[Next] をクリックします。3. [vCenter Admin Credentials] ページで、vCenter Server の IP アドレスまたはホスト名

と、vCenter 管理者の名前とパスワードを入力します。vCenter のホスト名は 32 文字以内でなければなりません。このため、それよりも短いホスト名か IP アドレスを指定します。[Next] をクリックします。

コネクタを初めて設定するときはこのページは表示されないことに注意してください。4. [vCenter Service Account Credentials] ページで、必要なアカウントおよびユーザーの作

成 (p. 6) で作成した vCenter サービスアカウントの認証情報を入力し、[Next] をクリックします。ドメインユーザーの場合、domain\username または username@domain 形式を使用します。

5. [AWS Credentials] ページで、AMP 信頼ロールの ARN と、「信頼関係のセットアップ (p. 7)」で選択した AWS サービスアカウントの認証情報を入力します。（VM のインポートには同じ IAM ユーザーを使用するか、AWSConnector ポリシーがアタッチされた別の IAMユーザーを使用することができます）。[Next] をクリックします。

10

AWS Management Portal for vCenter ユーザーガイドオプション 2: SAML ベースの認証

Note


6. [Register Plugin] ページで、[Register] をクリックして vCenter Server の証明書をインストールします。コネクタの認証プロバイダーは、この証明書が表示された場合にのみ vCenter Server に応答します。

5. vSphere クライアントを終了してから再び起動します。[Home] をクリックし、[AWS ManagementPortal] をクリックします。

セットアッププロセスが完了すると、管理ポータルの使用を開始できます。ただし、開始する前に、必ず以下のステップを完了してください。時刻同期の設定 (p. 4)およびネットワーク設定の設定 (p. 4)。

オプション 2: SAML ベースの認証管理ポータルは、ID プロバイダー (IdP) を使用してユーザーを認証するように設定できます。

ユーザーは AWS リソースに直接アクセスできません。その代わりに、vSphere クライアントが ID ストアからユーザーの情報を取得し、SAML アサーションを使用して AWS Management Portal for vCenter へのアクセスをユーザーに許可します。次の図は、このプロセスを示したものです。

SAML ベースの認証

1. ユーザーは、vCenter にサインインし、[Home]、[AWS Management Portal] の順にクリックします。vSphere クライアントが IdP に認証リクエストを送信します。

2. IdP が、ユーザーを認証します。3. IdP が、ユーザーを識別するアサーションを含む SAML 認証レスポンスを生成し、ユーザーに関する情

報を提供します。4. vSphere クライアントが、AWS シングルサインオン（SSO）エンドポイントに SAML アサーションを

送信します。エンドポイントは、AWS Security Token Service (AWS STS) に対して一時的なセキュリティ認証情報をリクエストし、コンソールのサインイン URL を作成します。

5. AWS が、リダイレクトを伴う vSphere クライアントへのサインイン URL をコンソールに送信します。6. 管理ポータルは、管理者により割り当てられたアクセス許可に基づく AWS リソースへのアクセスを

ユーザーに許可します。

前提条件

11


管理ポータルのセットアップを開始する前に、AWS SAML フェデレーションで使用する IdP のセットアップと設定を行います。使用する IdP は SAML 2.0 をサポートしている必要があり、RelayState パラメータを有効にする必要があります。

ディレクトリサービスとして Windows Active Directory（AD）を使用している場合、IdP として ActiveDirectory フェデレーションサービス（ADFS）を使用できます。詳細については、「AWS ManagementPortal for vCenter for AWS Management Portal for vCenter for AWS (p. 17)」を参照してください。他の ID プロバイダーについては、」SAML ソリューションプロバイダーと AWS の統合がIAM ユーザーガイド。

Tasks


1. 必要なアカウントおよびユーザーの作成 (p. 12)2. 信頼関係のセットアップ (p. 14)3. コネクタ仮想アプライアンスのデプロイ (p. 15)4. コネクタの設定 (p. 16)

必要なアカウントおよびユーザーの作成最初に、管理ポータルで必要なアカウントとユーザーを作成します。

必要なアカウントおよびユーザーを作成するには

1. 組織の AWS アカウントをまだお持ちでない場合は、次に説明する手順に従ってアカウントを作成してください。

a. https://portal.aws.amazon.com/billing/signup を開きます。b. オンラインの手順に従います。

サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて確認コードを入力することが求められます。

セットアッププロセスは、AWS アカウントまたは IAM ユーザーの認証情報を使用して完了できます。AWS Identity and Access Management (IAM) の詳細については、「」を参照してください。IAMユーザーガイド。IAM ユーザーが管理ポータルをセットアップできるようにするには、次のポリシーで指定されたアクションを使用するアクセス許可をそのユーザーに付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:*", "amp:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketAcl", "s3:GetBucketLocation",

12

https://docs.aws.amazon.com/IAM/latest/UserGuide/IdP-solution-providers.htmlhttp://portal.aws.amazon.com/billing/signuphttps://docs.aws.amazon.com/IAM/latest/UserGuide/https://docs.aws.amazon.com/IAM/latest/UserGuide/


"s3:GetBucketAcl" ], "Resource": "arn:aws:s3:::export-to-s3-*" }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": [ "arn:aws:s3:::*" ] } ]}

2. の作成AWS サービスアカウントこれは、コネクタが vCenter から AWS に VM を移行する際に使用する IAM ユーザーです。

a. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。b. [Navigation] ペインで [Users] をクリックします。c. [Add user] をクリックします。d. リポジトリの []ユーザーの追加[] ページで、ユーザー名を入力し、[プログラムによるアクセス] を

クリックし、[] をクリックします。次へ: アクセス許可。e. [Attach existing policies directly (既存のポリシーを直接アタッチ)] を選択します。f. 検索フィールドに AWSConnector と入力します。[] のチェックボックスをオンにします。AWS

コネクタポリシーをクリックし、[] をクリックします。次へ: 確認。g. [Create user] をクリックします。h. このアカウントの認証情報を安全な場所に保存してから、[Close] をクリックします。

Important

これらの認証情報は、コネクタのセットアッププロセスを完了するために必要になります。

3. の作成vCenter Service アカウントこれは、コネクタが vCenter との通信に使用するローカルまたはドメインユーザーです。アカウントにランダムな一意のパスワードを指定します。この時点で、このユーザーに vCenter 権限を手動で割り当てないでください。コネクタのセットアッププロセス中に、このユーザーに vApp エクスポート権限が自動的に割り当てられます。コネクタのセットアッププロセスが終了したら、vCenter インベントリの特定の部分にこの権限を制限できる点に注意してください。

Important

このアカウントの認証情報を安全な場所に保存します。これは、コネクタのセットアッププロセスを完了するために必要です。

IdP、vCenter、または Windows のうち、最も都合の良い方法を使用して、このユーザーを作成できます。ローカルユーザーまたはドメインユーザーの作成の詳細については、次のドキュメントを参照するか、vCenter または IdP の管理者にお問い合わせください。

• Active Directory: 新しいユーザーアカウントを作成する• Windows の場合: ローカルユーザーアカウントを作成する• vCenter 5.5 vCenter Single Sign-On ユーザーの追加(デフォルトのドメインはvsphere.local)• vCenter 5.1: vCenter シングルサインオンユーザーの追加(デフォルトのドメインはSystem-Domain)

13

https://console.aws.amazon.com/iam/http://technet.microsoft.com/en-us/library/cc732336.aspxhttp://technet.microsoft.com/en-us/library/cc770642.aspxhttps://pubs.vmware.com/vsphere-55/index.jsp?topic=%2Fcom.vmware.vsphere.security.doc%2FGUID-72BFF98C-C530-4C50-BF31-B5779D2A4BBB.htmlhttp://pubs.vmware.com/vsphere-51/index.jsp?topic=%2Fcom.vmware.vsphere.security.doc%2FGUID-72BFF98C-C530-4C50-BF31-B5779D2A4BBB.html


信頼関係のセットアップ次の手順に従って、管理ポータルと IdP の間に信頼関係をセットアップします。

信頼関係をセットアップするには

1. AWS Management Portal for vCenter Youl AWS Management Portal設定コンソール。

Tip

セットアッププロセスをすでに完了しているが、認証プロバイダーを変更する場合は、概要ページに移動して [Reset Trust Relationship] を展開し、[I acknowledge that I want to resetmy trust relationships configuration] をクリックしてから [Reset Trust Relationship] をクリックします。

2. [Get started now] をクリックします。3. [AWS Management Portal for vCenter Configuration] ページで、SAML ベースの認証プロバイダーを選

択します。4. [Configure the Trust Relationship] ページで、次のいずれかを実行します。

• オプション 1: 信頼のセットアップ

1. [SAML provider] で、[CREATE NEW] を選択して SAML プロバイダを作成します。プロバイダーの名前を入力し、使用する IdP の SAML メタデータドキュメントを選択して [Save] をクリックします。

使用する IdP が ADFS である場合は、次の URL を使用して SAML メタデータドキュメントをダウンロードできます。my-adfs-server は ADFS サーバーのホスト名です。

https://my-adfs-server/FederationMetadata/2007-06/FederationMetadata.xml

2. [Identity Provider URN] に、IdP の一意の識別子を入力します。これは、IdP の SAML メタデータドキュメントにある entityID 属性の値です。

3. [SAML role] で、[CREATE NEW] を選択します。このロールには、AWS 権限がありません。管理ポータルは、IdP からのアサーションを使用してこのロールを引き受けることができるユーザーを信頼します。

4. [AMP service role] で、[CREATE NEW] を選択します。管理ポータルは、このロールを引き受けて AWS リソースを管理します。

5. [Import service role] で、[CREATE NEW] を選択します。VM Import/Export サービスは、コネクタを使用した VM の移行時、このロールを引き受けて変換タスクを管理します。

6. [I agree that AWS Management Portal for vCenter may create the above roles on my behalf] をクリックします。

7. [Save and Continue] をクリックします。• オプション 2: 認証プロバイダーの変更

これ以前に認証プロバイダーとして AWS Connector を選択した場合は、[Reset Trust Relationship]をクリックします。リセットした後で、セットアッププロセスを再び開始することができます。SAML ベースの認証プロバイダーを選択してから、信頼をセットアップします。

5. [Configure Single Sign-On URL] ページで、シングルサインオン (SSO) URL を入力し、[Save andContinue] をクリックします。

この URL には、証明書利用者の ID（urn:amazon:webservices）および SAMLRelayState（https://amp.aws.amazon.com/auth）のパラメータを使用する必要があります。

使用する IdP が ADFS である場合、SSO URL は IdP URL となり、その後に次の内容が続きます。

14

https://amp.aws.amazon.com/VCPlugin.html#setup

AWS Management Portal for vCenter ユーザーガイドコネクタ仮想アプライアンスのデプロイ

?RelayState=RPID%3Durn%253Aamazon%253Awebservices%26RelayState%3Dhttps%253A%252F%252Famp.aws.amazon.com%252Fauth

たとえば、IdP URL がであるとします。https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx。対応する SSO URL は次のとおりです。

https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx?RelayState=RPID%3Durn%253Aamazon%253Awebservices%26RelayState%3Dhttps%253A%252F%252Famp.aws.amazon.com%252Fauth

SSO URL を手動で作成するか、ジェネレータツールを使用します。6. リポジトリの []管理者を追加するページで、管理ポータルの管理者として組織のユーザーを 1～5 名追

加し、保存して続行。ローカルユーザーとドメインユーザーの両方を指定できることに注意してください。

Important

ドメインとユーザー名では大文字と小文字が区別されます。

domain\user 形式を使用します。ローカルユーザーの場合、domain\ はオプションです。ドメインユーザーの場合、domain\user を 32 文字以内で指定する必要があります。ローカルユーザーの場合、user を 32 文字以内で指定する必要があります。domain と user の名前はどちらも文字で始まる必要があり、使用できる文字は次のとおりです。a～z、A～Z、0～9、ピリオド (.)、アンダースコア(_)、およびダッシュ (-)。

ここでは、少なくとも 1 人の管理者を追加する必要がありますが、後で他のユーザーを管理者として追加できる点に注意してください。詳細については、「管理者の管理 (p. 23)」を参照してください。

7. [Create an AMP Connector Key] ページで、AMP コネクタキーの名前を入力し、[Create] をクリックします。

8. [Review Your Configuration] ページで、[Download Configuration] をクリックします。それにより、信頼関係の設定が格納されたファイルがダウンロードされます。このファイルを安全な場所に保存します。これは、コネクタのデプロイプロセスを完了するために必要です。[Finish] をクリックします。

漏洩したと思われる場合は、新しい AMP 信頼ロールまたは AMP コネクタキーを作成できます。9. IdP 内では、AWS を信頼された依存パーティとして設定します。IdP が ADFS である場合、詳細は

「ADFS および for vCenter for AWS Management Portal for ADFS および AWS Management Portalfor (p. 20)」を参照してください。

10. ブラウザを使用して SSO URL をテストします。この時点で、次のようなページが表示されます。

AWS Management Portal for vCenterYour AWS Management Portal setup is incomplete

その代わりに AWS マネジメントコンソールが表示される場合、ご使用の IdP がRelayStateパラメータ。詳細については、「RelayState の有効化 (p. 19)」を参照してください。

コネクタ仮想アプライアンスのデプロイ管理ポータルでは、コネクタを展開および構成する必要があります。コネクタは、管理者とアクセス許可を管理します。

コネクタは、仮想アプライアンスとしてパッケージ化されています。コネクタをデプロイするには、次の手順を実行します。

15

AWS Management Portal for vCenter ユーザーガイドコネクタの設定

コネクタ仮想アプライアンスをデプロイするには

1. VMware 管理者として vCenter にサインインします。2. [] からファイル[] メニューで []OVF テンプレートのデプロイ。次の URL をファイルまたは URL から

のデプロイ[] フィールドで [] をクリックします。次:

https://s3.amazonaws.com/aws-connector/AWS-Connector.ova

(オプション) ダウンロードを確認するには、次の MD5 および SHA256 チェックサムを使用します。

https://s3.amazonaws.com/aws-connector/AWS-Connector.ova.md5sumhttps://s3.amazonaws.com/aws-connector/AWS-Connector.ova.sha256sum

3. ウィザードを終了します。[Disk Format] ページで、いずれかのシックプロビジョニングディスクタイプを選択します。[] を選択することをお勧めします。厚手プロビジョニング熱心ゼロ化これは、最高のパフォーマンスと信頼性を備えているため、ただし、ディスクのフォーマットに数時間かかります。選択しないシン・プロビジョニングこのオプションではデプロイは速くなりますが、ディスクパフォーマンスは大幅に低下します。詳細については、VMware のドキュメントでサポートされている仮想ディスクのタイプを確認してください。

4. vSphere クライアントのインベントリツリーで新しくデプロイされたテンプレートを探して右クリックし、電源 > 電源オン。テンプレートを再度クリックし、[] を選択します。Open Console。コンソールに、コネクタ管理コンソールの IP アドレスが表示されます。IP アドレスを安全な場所に保存します。このアドレスは、コネクタのセットアッププロセスを完了するために必要になります。

Note

DHCP サーバーがない場合は、静的 IP アドレスを設定する必要があります。詳細については、「（オプション）ネットワーク設定の構成 (p. 4)」を参照してください。

コネクタの設定セットアッププロセスを完了するには、ウェブブラウザを開いて次の手順を実行します。

Important

この手順の指示は、コネクタのバージョン 2.1.0 以降について記述されています。画面右上隅にあるバージョン情報がバージョン: 2.0.0で、PDF ファイルをダウンロードします。コネクタの設定コネクタのバージョン 2.0.0 用に書かれた指示については、を参照してください。

コネクタ管理コンソールを使用してコネクタを設定するには

1. ウェブブラウザから、https://にアクセスします。ip_address/, ここでip_addressは、以前に保存したコネクタ管理コンソールの IP アドレスです。

Tip

ブラウザがサイトの証明書を確認できない場合、サイトが信頼されていないという通知が表示されます。証明書を確認するか（「信頼されていない SSL 証明書の検証 (p. 48)」を参照）、独自の証明書と置き換えることができます（「信頼された SSL 証明書のインストール (p. 48)」を参照）。

2. [Log in to Connector] ダイアログボックスで、vCenter Server の IP アドレスまたはホスト名を入力し、[Log in] をクリックします。vCenter のホスト名は 32 文字以内でなければなりません。このため、それよりも短いホスト名か IP アドレスを指定します。

プロンプトが表示されたら、パスワードを作成します。このパスワードは、次回コネクタ管理コンソールにログインするときに使用します。

16

http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1022242http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1022242https://awsdocs.s3.amazonaws.com/AMP/2.0/configuring-connector-2-0.pdfhttps://awsdocs.s3.amazonaws.com/AMP/2.0/configuring-connector-2-0.pdf

AWS Management Portal for vCenter ユーザーガイドADFS のセットアップ

Note

誤ったパスワードを 20 回入力するとロックされ、パスワードをリセットする必要があります。詳細については、「コネクタパスワードのリセット (p. 43)」を参照してください。

3. 初めてコネクタにログインした場合、登録ウィザードが自動的に開始されます。そうでない場合は、[Register the Connector] をクリックします。

4. [Upload Key Pair] ページで、信頼関係のセットアップ時に作成したキーをコピーし、[Next] をクリックします。

5. [vCenter Admin Credentials] ページで、新しい vCenter 拡張を登録するアクセス許可を持つ vCenterアカウントの認証情報を入力し、[Next] をクリックします。これらの認証情報は、コネクタのセットアッププロセスが完了すると破棄されます。

6. [vCenter Service Account Credentials] ページで、必要なアカウントおよびユーザーの作成 (p. 12)で作成した vCenter サービスアカウントの認証情報を入力し、[Next] をクリックします。ドメインユーザーの場合、domain\username または username@domain 形式を使用します。

これらの認証情報は暗号化された形式で保存されるため、セットアッププロセスが完了した後保存する必要はない点に注意してください。

7. [AWS Credentials] ページで、必要なアカウントおよびユーザーの作成 (p. 12) で作成した AWSサービスアカウントの認証情報を入力し、[Next] をクリックします。これらの認証情報は暗号化されたフォームで保存される点に注意してください。

Note


8. [Register Plugin] ページで、[Register] をクリックします。9. vSphere クライアントを終了してから再び起動します。[Home] をクリックし、[AWS Management

Portal] をクリックします。

IAM ロールを選択するプロンプトが表示されたら、名前に AWS-Management-Portal-for-vCenter が含まれるロールを選択します。

Important

管理ポータルの代わりに AWS コンソールが表示される場合、おそらくRelayStateパラメーターが有効になっていません。詳細については、「RelayState の有効化 (p. 19)」を参照してください。

セットアッププロセスが完了すると、管理ポータルの使用を開始できます。ただし、開始する前に、必ず以下のステップを完了してください。時刻同期の設定 (p. 4)およびネットワーク設定の設定 (p. 4)。

AWS Management Portal for vCenter for AWSManagement Portal for vCenter for AWSディレクトリサービスとして Windows Active Directory（AD）を使用している場合、ID プロバイダ（IdP）として Active Directory フェデレーションサービス（ADFS）を使用し、AWS 環境へのフェデレーティッドシングルサインオン（SSO）を有効にすることができます。

組織と AWS の間で統合を有効にするには、以下のタスクを実行します。

Tasks

1. 要件の準備 (p. 18)

17


2. ADFS 3.0 のインストール (p. 18)3. RelayState の有効化 (p. 19)

Requirements以下の要件について準備します。

• Active Directory でドメインアカウントを作成します。たとえば、この手順では adfssvc という名前を使用します。パスワードを安全な場所に保存します。このアカウントは、この手順で後ほど ADFS サービスアカウントとして使用します。

• ADFS を実行するサーバーがこのドメインに参加していることを確認します。コンピューター名を更新することもできます。

• （オプション）証明書がない場合は、Internet Information Services（IIS）を使用して自己署名証明書を作成できます。開発環境では自己署名証明書を使用する方法が便利です。ただし、本稼働環境には信頼できる認証機関からの証明書が必要になります。

自己署名証明書を作成するには

1. インターネットインフォメーションサービス (IIS) マネージャーを開きます。2. [Connections] ペインで、サーバーノードを選択します。3. サーバーノードの [Home] ページから、[Server Certificates] を開きます。4. [Actions] ペインで、[Create Self-Signed Certificate] をクリックします。5. [Create Self-Signed Certificate] ダイアログボックスで、証明書の名前を指定して [OK] をクリックし

ます。

ADFS 3.0 のインストールまだインストールしていない場合は、サーバーに ADFS をインストールし、フェデレーションサーバーとして設定します。

Windows Server 2012 で ADFS 3.0 をインストールするには

1. Server Manager を開きます。2. ダッシュボードで、[Add roles and features] をクリックします。3. [Select installation type] ページで、[Role-based or feature-based installation] を選択して、[Next] をク

リックします。4. [Select destination server] ページで、[Select a server from the server pool] を選択してリストからサー

バーを選択し、[Next] をクリックします。5. [Select server roles] ページで、[Active Directory Federation Services] を選択して [Next] をクリックし

ます。6. [Confirm installation selections] ページで、[Install] をクリックします。

ADFS 3.0 を設定するには

1. Server Manager を開き、警告アイコンをクリックして、デプロイ後の設定を完了します。2. [Welcome] ページで、[Create the first federation server in a federation server farm] を選択して [Next]

をクリックします。3. [Connect to Active Directory Domain Services] ページで、ドメイン管理者アカウントを指定して

[Next] をクリックします。4. [Specify Service Properties] ページで、「要件」セクションで説明した SSL 証明書を選択します。

[Import] をクリックします。要求された情報を入力し、[Next] をクリックします。

18


5. [Specify Service Account] ページで、[Use an existing domain user account or group Managed ServiceAccount] をクリックします。「要件」セクションで説明したドメインアカウント（例: adfssvc）を指定します。

6. [Specify Configuration Database] ページで、[Create a database on this server using Windows InternalDatabase] をクリックしてから [Next] をクリックします。

7. [Review Options] ページの情報を確認し、[Next] をクリックします。8. [Pre-requisite Checks] ページで、チェックのステータスを監視します。問題が報告された場合は対応

します。すべてのチェックが正常に完了したら、[Configure] をクリックします。

"An error occurred during an attempt to set the SPN for the specified service account" で始まるエラーメッセージが表示される場合は、コマンドプロンプトウィンドウを管理者として開き、次のコマンドを実行することで問題を解決できます。

setspn -a host/localhost service-account

なお、service-account は、「要件」セクションで説明したサービスアカウントの名前(例:adfssvc). コマンドが正常に完了すると、最後に "Updated object" を表示されます。

RelayState の有効化続行する前に、ご使用の ADFS が RelayState パラメータをサポートすることを確認し、このパラメータを有効にします。このパラメータは、ADFS 2.0 の更新プログラムのロールアップ 2 で導入されたものです。このパラメータは ADFS 3.0 ではサポートされていますが、デフォルトでは有効になっていません。

RelayState を有効にするには

1. （ADFS 2.0 の場合）[コントロールパネル] で [インストールされた更新プログラム] を開き、KB2681584（更新プログラムのロールアップ 2）または KB2790338（更新プログラムのロールアップ 3）を探します。

2. メモ帳などのテキストエディターで、次のファイルを開きます。

• [ADFS 2.0] C:\inetpub\adfs\ls\web.config• [ADFS 3.0] %systemroot%\ADFS\Microsoft.IdentityServer.Servicehost.exe.config

3. microsoft.identityServer.web セクションに、次のようにuseRelyStateForIdpInitiatedSignOn を追加し、変更を保存します。

...

4. （ADFS 2.0）次のコマンドを使用して IIS を再起動します。

C:\> IISReset

Attempting stop...Internet services successfully stoppedAttempting start...Internet services successfully restarted

5. 次のように ADFS を再起動します。

a. [Start] メニューで [Administrative Tools] にカーソルを重ね、[Services] をクリックします。b. ADFS サービスを右クリックし、[Restart] をクリックします。

19

AWS Management Portal for vCenter ユーザーガイドSSO の設定

ADFS および for vCenter for AWS Management Portalfor ADFS および AWS Management Portal forADFS と管理ポータル間でシングルサインオン (SSO) を設定できます。ユーザーが管理ポータルを通じてAWS へのアクセスをリクエストすると、ADFS がユーザーを認証します。

Note

AWS との信頼関係をすでにセットアップ済みである場合は、ステップ 11 での設定に合わせてNameId クレームを編集します（受信クレームタイプは Windows account name、送信クレームタイプは Name Id、送信名 ID 形式は Persistent Identifier です）。次に、ステップ 15に進みます。

AWS と ADFS の間で信頼を設定するには

1. (ADFS 2.0) [スタート] メニューから [AD FS 2.0 Management] を開きます。

(ADFS 3.0) Server Manager で [Tools] をクリックし、[AD FS Management] を選択します。2. (ADFS 2.0) [Actions] ペインで [Add Relying Party Trust] をクリックします。

(ADFS 3.0) [AD FS\Trust Relationships] の下の [Relying Party Trusts] を右クリックし、[Add RelyingParty Trust] をクリックします。

3. [Welcome] ページで、[Start] をクリックします。4. [Select Data Source] ページで、[Import data about the relying party published online or on

a local network] を選択します。フェデレーションのメタデータアドレスとして "https://signin.aws.amazon.com/static/saml-metadata.xml" と入力し、[Next] をクリックします。

5. [Specify Display Name] ページで、表示名として "AWS Management Portal for vCenter" と入力し、[Next] をクリックします。

20


6. [Choose Issuance Authorization Rules] ページで、[Permit all users to access this relying party] を選択して [Next] をクリックします。

7. [Ready to Add Trust] ページで設定を確認し、[Next] をクリックします。8. [Finish] ページで、[Open the Edit Claim Rules dialog for this relying party trust when the wizard closes]

を選択してから [Close] をクリックします。9. [Edit Claim Rules for AWS Management Portal for vCenter] ダイアログボックスの [Issuance

Transform Rules] タブで、[Add Rule] をクリックします。10. [Select Rule Template] ページで、リストから [Send Claims Using a Custom Role] クレームルールテ

ンプレートを選択して [Next] をクリックします。11. クレームルールを設定するには、[NameIdClaim rule name] にを入力し、[Custom claim rule] に次の

ルールを入力して [Finish] をクリックします。

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent");

Windows ユーザー名 (ドメイン\ユーザー) としてNameIdクレーム。これらの名前が 32 文字未満であり、永続識別子であることを確認します。

21


12. [Add Rule] をクリックします。13. [Send Claims Using a Custom Role] を選択し、[Next] をクリックします。14. クレームルールを設定するには、[RoleSessionNameClaim rule name] にを入力し、[Custom claim

rule] に次のルールを入力して [Finish] をクリックします。

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("https://aws.amazon.com/SAML/Attributes/RoleSessionName"), query = ";mail;{0}", param = c.Value);

SAML アサーションを持つユーザーの表示名を使用します。これらの名前は 32 文字未満で指定する必要があり、使用できるのは次の文字セットのみです [a-zA-Z_0-9+=,.@-]。

このユーザーには、Active Directory でセットアップされたメールアドレスが必要です。15. [Add Rule] をクリックします。16. [Send Claims Using a Custom Role] を選択し、[Next] をクリックします。17. クレームルールを設定するには、[AmpRoleClaim rule name] にを入力し、[Custom claim rule] に次

のルールを入力して [Finish] をクリックします。

=> issue(Type="https://aws.amazon.com/SAML/Attributes/Role", Value = "arn:aws:iam::account_id:saml-provider/provider_name,arn:aws:iam::account_id:role/saml_role");

このルールには、SAML プロバイダーの ARN (arn:aws:iam::account_id:saml-provider/provider_name)および SAML ロール (arn:aws:iam::account_id:role/saml_role) が必要です。これらの ARN は、AWSManagement Portal for vCenter for vCenter セットアップポータルコンソール。

18. ADFS サービスの開始と停止を実行し、設定をテストします。AWS は、IdP により許可されたユーザーを信頼して SAML ロールを引き受けます。したがって、アサーションを許可する前に IdP がネットワーク内のユーザーを認証および許可するようにしてください。

22

https://amp.aws.amazon.com/VCPlugin.html#setuphttps://amp.aws.amazon.com/VCPlugin.html#setup

AWS Management Portal for vCenter ユーザーガイド管理者の管理

AWS Management Portal for vCenterを使用した AWS リソースの管理

AWS Management Portal for vCenter の管理者は AWS ネットワーク (仮想プライベートクラウド (VPC)と呼ばれます) の管理や環境の作成を担当します。また、環境にアクセスするためのアクセス許可をユーザーに付与します。

目次• 管理者の管理 (p. 23)• VPC とサブネットの管理 (p. 24)• セキュリティグループの管理 (p. 25)• 環境を管理する (p. 26)• ユーザーアクセス許可の管理 (p. 27)

管理者の管理管理ポータルを管理するユーザーを、複数選択することをお勧めします。管理ポータルの管理者を追加するには、vCenter と管理ポータルの両方の管理者であることが必要です。

管理者を追加するには

1. 管理者として vCenter にサインインし、[ホーム]、[AWS Management Portal] の順にクリックします。

2. 上部のペインで、[Admin Users] をクリックします。3. [Add] をクリックします。

Tip

コネクタを使用してユーザーを認証する場合で、コネクタがメンテナンスモードであるときは、"Unable to contact User Provider. Please contact your Administrator" というエラーメッセージが表示されます。数分間待ってからもう一度試してみることをお勧めします。

4. [Select Users] ダイアログボックスで、ドメインと 1 人以上のユーザーを選択し、[OK] をクリックします。

ドメインとユーザーの名前が所定の条件を満たさない場合は、それらのドメインとユーザーは無効になります。ユーザーがドメインユーザーである場合は、domain\user は 32 文字までにする必要があります。ユーザーがローカルユーザーである場合は、user は 32 文字までにする必要がありま

23

AWS Management Portal for vCenter ユーザーガイドVPC とサブネットの管理

す。domain と user の値はどちらも、文字で始め、次の文字だけを含める必要があります。a～z、A～Z、0～9、ピリオド (.)、アンダースコア (_)、およびダッシュ (-)。

5. 管理者の追加が完了したら、[Save] をクリックします。

管理ポータルの管理者を削除するには、その管理ポータルの管理者であることが必要です。

管理者を削除するには


2. [Admin Users] をクリックします。3. 一覧からユーザーを選択します。4. [Remove] をクリックし、[Save] をクリックします。

VPC とサブネットの管理デフォルトでは、リージョンごとに最大 5 つの VPC を作成できます。また、各 VPC に対して、1 つ以上のサブネットと 1 つ以上のセキュリティグループを作成できます。ルートテーブル、ネットワークACL、VPC の他の高度な機能を設定するには、AWS Management Console または AWS CLI を使用する必要があります。VPC の詳細については、」Amazon VPC ユーザーガイド。

AWS アカウントを作成したタイミングによっては、リージョンごとにデフォルトの VPC が存在する可能性があります。

VPC とサブネットを作成するには


2. 上部のペインで、[VPC] をクリックします。3. VPC のリージョンを選択します。[Getting Started] タブで、[Create a virtual private cloud] をクリック

します。4. [VPC Name] に VPC の名前を入力します。5. 目的に合った設定 ([VPC with a single public subnet] または [VPC with public and private subnets]) を

選択し、[Next] をクリックします。

VPC を作成した後で、追加のサブネットを指定できます。また、Amazon VPC コンソールでは、VPC に対する追加の設定もサポートされます。

6. CIDR 表記で VPC の IP アドレス範囲を入力します（10.0.0.0/16 など）。7. サブネットごとに、CIDR 表記で IP アドレス範囲（10.0.0.0/24 など）を入力し、アベイラビリ

ティーゾーンを選択します。VPC に複数のサブネットを作成する場合、サブネットの IP アドレス範囲は重複できません。完了したら、[Next] をクリックします。

8. （オプション)VPC に 1 つ以上のタグを指定します。各タグに対して、[Add] をクリックし、タグキーとタグ値を入力します。

9. タグの追加が完了したら、[Finish] をクリックします。10. （オプション）別のサブネットを VPC に追加するには、VPC を選択し、サブネットを作成するでは

じめにタブ。名前を入力し、アベイラビリティゾーンを選択して、サブネットの IP アドレス範囲をCIDR 表記で入力します。デフォルトでは、サブネットはパブリックサブネットになっています。プライベートサブネットを作成するには、[Make this a private subnet] をクリックします。サブネットに対して 1 つ以上のタグを指定できます。完了したら、[Finish] をクリックします。

サブネットに実行中のインスタンスがない場合にのみ、デフォルト以外の VPC を削除できます。管理ポータルを使用してデフォルトの VPC は削除できません。

24

https://docs.aws.amazon.com/vpc/latest/userguide/

AWS Management Portal for vCenter ユーザーガイドセキュリティグループの管理

VPC を削除するには


2. [VPC] をクリックします。3. VPC のリージョンを展開し、VPC を選択します。4. [Getting Started] タブで、[Delete the virtual private cloud] をクリックします。5. [Delete VPC] ダイアログボックスで、[Yes] をクリックします。

セキュリティグループの管理セキュリティグループは、1 つ以上の EC2 インスタンスのトラフィックを制御するファイアウォールとして機能します。セキュリティグループを作成し、VPC 内にある、セキュリティグループに関連付けられたEC2 インスタンスにユーザーが接続できるようにするルールを追加します。ユーザーはテンプレートを作成するときに、1 つ以上のセキュリティグループを選択します。

セキュリティグループを作成するには


2. 上部のペインで、[VPC] をクリックします。3. VPC のリージョンを展開し、VPC を選択します。4. [Getting Started] タブで、[Create a security group] をクリックします。5. セキュリティグループの名前と説明を入力し、[Next] をクリックします。6. EC2 Linux インスタンスに接続するには、SSH を使用してインバウンドトラフィックを許可するルー

ルを追加する必要があります (この手順をスキップし、後でルールを追加する場合は、セキュリティグループを選択してルールの追加ではじめにタブ)。

a. [Add] をクリックします。b. [Type] リストから [SSH] を選択します。c. [Source] リストから [Custom IP] を選択します。d. [IP] に、CIDR 表記で IP アドレス範囲を入力します。たとえば、IP アドレスが 203.0.113.25

の場合、この単一の IP アドレスを CIDR 表記でリストするには 203.0.113.25/32 と指定します。会社が特定の範囲からアドレスを割り当てている場合、範囲全体 (203.0.113.0/24など) を指定します。

e. [Inbound] が選択されていることを確認します。f. [Add] をクリックします。

7. EC2 Windows インスタンスに接続するには、RDP を使用してインバウンドトラフィックを許可するルールを追加する必要があります (この手順をスキップし、後でルールを追加する場合は、セキュリティグループを選択してルールの追加ではじめにタブ)。

a. [Add] をクリックします。b. [Type] リストから [RDP] を選択します。c. [Source] リストから [Custom IP] を選択します。d. [IP] に、CIDR 表記で IP アドレス範囲を入力します。たとえば、IP アドレスが 203.0.113.25

の�

aws management portal for vcenter - ユーザーガイド...• dhcp: connector の dhcp...

Documents