Rollenbasierte Zugriffssteuerung mit Filesystem-Analyse
Änderungen vorschlagen
PDFs
Ab ONTAP 9.12.1 verfügt ONTAP über eine vordefinierte rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), die unter der Bezeichnung admin-no-fsa. Die admin-no-fsa Rolle gewährt Privileges auf Administratorebene, verhindert jedoch, dass der Benutzer files in der ONTAP-CLI, der REST-API und in System Manager Vorgänge in Verbindung mit dem Endpunkt (z. B. Dateisystemanalysen) ausführt.
Weitere Informationen zur admin-no-fsa Rolle finden Sie unter Vordefinierte Rollen für Cluster-Administratoren.
Wenn Sie eine Version von ONTAP verwenden, die vor ONTAP 9.12.1 veröffentlicht wurde, müssen Sie eine dedizierte Rolle erstellen, um den Zugriff auf Dateisystemanalysen zu steuern. Vor ONTAP Versionen von ONTAP 9.12.1 müssen Sie RBAC-Berechtigungen über die ONTAP CLI oder die ONTAP REST API konfigurieren.
Ab ONTAP 9.12.1 können Sie RBAC-Berechtigungen für die Dateisystemanalyse mit System Manager konfigurieren.
-
Wählen Sie Cluster > Einstellungen. Navigieren Sie unter Sicherheit zu Benutzer und Rollen und wählen Sie
. -
Wählen Sie unter Rollen die Option
. -
Geben Sie einen Namen für die Rolle ein. Konfigurieren Sie unter Rollenattribute den Zugriff oder die Einschränkungen für die Benutzerrolle, indem Sie die entsprechende "API-Endpunkte". In der folgenden Tabelle finden Sie primäre Pfade und sekundäre Pfade zum Konfigurieren von Zugriff oder Einschränkungen bei der Dateisystemanalyse.
Einschränkung Primärer Pfad Sekundärer Pfad Verfolgung von Aktivitäten auf Volumes
/api/storage/volumes-
/:uuid/top-metrics/directories -
/:uuid/top-metrics/files -
/:uuid/top-metrics/clients -
/:uuid/top-metrics/users
Verfolgung von Aktivitäten auf SVMs
/api/svm/svms-
/:uuid/top-metrics/directories -
/:uuid/top-metrics/files -
/:uuid/top-metrics/clients -
/:uuid/top-metrics/users
Alle Dateisystemanalysen
/api/storage/volumes/:uuid/filesSie können
/*/anstelle einer UUID die Richtlinie für alle Volumes oder SVMs am Endpunkt festlegen.Wählen Sie die Zugriffsberechtigungen für jeden Endpunkt aus.
-
-
Wählen Sie Speichern.
-
Informationen zum Zuweisen der Rolle zu einem Benutzer finden Sie unter Kontrolle des Administratorzugriffs.
Wenn Sie eine vor ONTAP 9.12.1 veröffentlichte ONTAP Version verwenden, erstellen Sie eine benutzerdefinierte Rolle mithilfe der CLI von ONTAP.
-
Erstellen Sie eine Standardrolle, um Zugriff auf alle Funktionen zu haben.
Dies muss vor der Erstellung der restriktiven Rolle erfolgen, um sicherzustellen, dass die Rolle nur auf der Verfolgung von Aktivitäten beschränkt ist:
security login role create -cmddirname DEFAULT -access all -role storageAdmin -
Erstellen Sie die restriktive Rolle:
security login role create -cmddirname "volume file show-disk-usage" -access none -role storageAdmin -
Autorisieren Sie Rollen für den Zugriff auf die Web-Services der SVM:
-
restFür REST-API-Aufrufe -
securityZum Kennwortschutz -
sysmgrFür den System Manager-Zugriffvserver services web access create -vserver svm-name -name_ -name rest -role storageAdminvserver services web access create -vserver svm-name -name security -role storageAdmin
vserver services web access create -vserver svm-name -name sysmgr -role storageAdmin -
-
Erstellen Sie einen Benutzer.
Sie müssen für jede Anwendung, die Sie auf den Benutzer anwenden möchten, einen eindeutigen Erstellungsbefehl ausgeben. Beim Aufruf Erstellen mehrfach auf demselben Benutzer werden einfach alle Anwendungen auf einen Benutzer angewendet und nicht jedes Mal ein neuer Benutzer erstellt. Der
httpParameter für den Applikationstyp gilt für die ONTAP-REST-API und den System Manager.security login create -user-or-group-name storageUser -authentication-method password -application http -role storageAdmin -
Mit den neuen Benutzeranmeldeinformationen können Sie sich jetzt bei System Manager anmelden oder über die ONTAP REST-API auf Daten zur Analyse von Dateisystemen zugreifen.