Berechtigungen für ONTAP Storage-Systeme und vSphere-Objekte
Mit der rollenbasierten Zugriffssteuerung (Role Based Access Control, RBAC) von ONTAP können Sie den Zugriff auf bestimmte Storage-Systeme steuern und die Aktionen steuern, die ein Benutzer auf diesen Storage-Systemen durchführen kann. In ONTAP® Tools für VMware vSphere arbeitet ONTAP RBAC mit vCenter Server RBAC zusammen, um zu bestimmen, welche ONTAP-Tools ein bestimmter Benutzer an den Objekten eines bestimmten Speichersystems ausführen kann.
ONTAP Tools verwenden die innerhalb der ONTAP Tools festgelegten Anmeldedaten (Benutzername und Passwort), um jedes Storage-System zu authentifizieren und um zu ermitteln, welche Storage-Vorgänge auf diesem Storage-System ausgeführt werden können. Die ONTAP Tools verwenden für jedes Storage-System einen Satz an Zugangsdaten. Diese Referenzen legen fest, welche Aufgaben der ONTAP Tools auf diesem Storage-System ausgeführt werden können. Anders ausgedrückt: Die Zugangsdaten gelten für ONTAP Tools und nicht für einzelne Benutzer von ONTAP Tools.
Die rollenbasierte Zugriffssteuerung von ONTAP gilt nur für den Zugriff auf Storage-Systeme und die Durchführung von Aufgaben mit ONTAP-Tools, die im Zusammenhang mit Storage stehen, beispielsweise zur Bereitstellung von Virtual Machines. Wenn Sie nicht über die entsprechenden ONTAP RBAC-Berechtigungen für ein bestimmtes Storage-System verfügen, können Sie auf einem vSphere Objekt, das auf diesem Storage-System gehostet wird, keine Aufgaben ausführen. Sie können die rollenbasierte Zugriffssteuerung von ONTAP in Verbindung mit spezifischen Berechtigungen der ONTAP-Tools verwenden, um zu steuern, welche Aufgaben für ONTAP-Tools ein Benutzer ausführen kann:
-
Überwachung und Konfiguration von Storage- oder vCenter Server-Objekten in einem Storage-System
-
Bereitstellung von vSphere Objekten in einem Storage-System
Die Nutzung der rollenspezifischen Berechtigungen für ONTAP mit den ONTAP Tools verschafft dem Storage-Administrator eine Storage-orientierte Sicherheitsebene, die er managen kann. Somit verfügen Sie über eine feingranulare Zugriffssteuerung als nur die ONTAP RBAC oder die alleine vCenter Server RBAC unterstützt. So können Sie mit vCenter Server RBAC z. B. vCenterUserB die Bereitstellung eines Datenspeichers auf NetApp Storage zulassen und zugleich verhindern, dass vCenterUserA Datenspeicher bereitstellt. Wenn die Anmeldeinformationen des Speichersystems für ein bestimmtes Speichersystem die Erstellung von Speicher nicht unterstützen, können weder vCenterUserB noch vCenterUserA einen Datenspeicher auf diesem Speichersystem bereitstellen.
Wenn Sie eine ONTAP-Tool-Aufgabe starten, überprüft ONTAP-Tools zunächst, ob Sie die richtige vCenter-Server-Berechtigung für diese Aufgabe haben. Wenn die vCenter Server-Berechtigung nicht ausreicht, um die Ausführung der Aufgabe zu ermöglichen, müssen ONTAP-Tools die ONTAP-Berechtigungen für dieses Speichersystem nicht überprüfen, da Sie die erste vCenter Server-Sicherheitsprüfung nicht bestanden haben. So kann nicht auf das Storage-System zugegriffen werden.
Wenn die Berechtigungen für vCenter Server ausreichend sind, prüfen ONTAP-Tools dann die RBAC-Berechtigungen von ONTAP (Ihre ONTAP-Rolle), die mit den Anmeldedaten des Storage-Systems (Benutzername und Passwort) verknüpft sind. Um zu ermitteln, ob Sie über ausreichende Berechtigungen verfügen, um die Speichervorgänge auszuführen, die für die Aufgabe „ONTAP-Tools“ auf diesem Speichersystem erforderlich sind. Wenn Sie über die richtigen ONTAP-Berechtigungen verfügen, können Sie auf das Speichersystem zugreifen und die Aufgabe „ONTAP-Tools“ ausführen. Die ONTAP-Rollen bestimmen die Aufgaben der ONTAP-Tools, die Sie auf dem Storage-System durchführen können.
Jedem Speichersystem ist ein Satz von ONTAP-Berechtigungen zugeordnet.
Die Nutzung der ONTAP RBAC und der vCenter Server RBAC bietet folgende Vorteile:
-
Sicherheit
Der Administrator kann steuern, welche Benutzer welche Aufgaben auf feingranularen vCenter Server-Objektebene und auf Ebene des Storage-Systems ausführen können.
-
Audit-Informationen
In vielen Fällen bieten ONTAP Tools ein Prüfprotokoll auf dem Storage-System, mit dem Sie Ereignisse an den vCenter Server-Benutzer zurückverfolgen können, der die Storage-Änderungen durchgeführt hat.
-
Benutzerfreundlichkeit
Sie können alle Controller-Anmeldedaten an einer Stelle beibehalten.
Empfohlene ONTAP-Rollen bei der Verwendung von ONTAP Tools für VMware vSphere
Sie können mehrere empfohlene ONTAP-Rollen für die Arbeit mit ONTAP®-Tools für VMware vSphere und rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) einrichten. Diese Rollen verfügen über die ONTAP-Berechtigungen, die zur Durchführung der erforderlichen Storage-Vorgänge erforderlich sind, die von den ONTAP-Tools-Aufgaben ausgeführt werden.
Um neue Benutzerrollen zu erstellen, müssen Sie sich als Administrator auf Storage-Systemen, auf denen ONTAP ausgeführt wird, einloggen. Sie können ONTAP Rollen mit ONTAP System Manager 9.8P1 oder höher erstellen. Siehe "Konfigurieren von Benutzerrollen und -Berechtigungen" Finden Sie weitere Informationen.
Jeder ONTAP-Rolle ist ein zugehöriger Benutzername und ein Passwort zugeordnet, was die Anmeldeinformationen der Rolle darstellt. Wenn Sie sich nicht mit diesen Anmeldedaten anmelden, können Sie nicht auf die Speichervorgänge zugreifen, die der Rolle zugeordnet sind.
Als Sicherheitsmaßnahme werden die ONTAP-Tools-spezifischen ONTAP-Rollen hierarchisch geordnet. Dies bedeutet, dass die erste Rolle die restriktivste Rolle ist und nur über die Berechtigungen verfügt, die mit dem grundlegendsten Satz von ONTAP-Tools-Speichervorgängen verknüpft sind. Die nächste Rolle umfasst sowohl eigene Berechtigungen als auch alle Berechtigungen, die mit der vorherigen Rolle verknüpft sind. Jede zusätzliche Rolle ist hinsichtlich des unterstützten Storage-Betriebs weniger restriktiv.
Im Folgenden finden Sie einige der empfohlenen ONTAP RBAC-Rollen bei der Verwendung von ONTAP Tools. Nachdem Sie diese Rollen erstellt haben, können Sie sie Benutzern zuweisen, die Storage-Aufgaben ausführen müssen, z. B. Virtual Machines bereitstellen.
-
Ermitteln
Diese Rolle ermöglicht es Ihnen, Storage-Systeme hinzuzufügen.
-
Speicher Erstellen
Mit dieser Rolle können Sie Speicher erstellen. Diese Rolle umfasst außerdem alle Berechtigungen, die mit der Ermittlungsrolle verknüpft sind.
-
Speicher Ändern
Mit dieser Rolle können Sie Speicher ändern. Diese Rolle umfasst außerdem alle Berechtigungen, die der Bestandsernahmerrolle und der Rolle „Speicher erstellen“ zugeordnet sind.
-
Speicher Zerstören
Mit dieser Rolle können Sie Speicher zerstören. Diese Rolle umfasst außerdem alle Berechtigungen, die der Bestandsernahmerrolle, der Rolle „Speicher erstellen“ und der Rolle „Speicher ändern“ zugeordnet sind.
Wenn Sie VASA Provider für ONTAP nutzen, sollten Sie auch eine richtlinienbasierte Managementrolle (PBM, richtlinienbasiertes Management) einrichten. Diese Rolle ermöglicht Ihnen das Storage-Management mithilfe von Storage-Richtlinien. Diese Rolle erfordert, dass Sie auch die Rolle “Diskovery” einrichten.