Versionshinweise
Rollenbasierte Zugriffssteuerung mit Filesystem-Analyse
Änderungen vorschlagen
-
PDF dieser Dokumentationssite
-
Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
-
Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
-
-
NAS-Storage-Management
-
Konfigurieren Sie NFS mit der CLI
-
Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
-
Verwalten Sie SMB-Server
-
Verwalten Sie den Dateizugriff mit SMB
-
-
-
SAN-Storage-Management
-
Authentifizierung und Zugriffssteuerung
-
Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Managen Sie die SnapMirror Volume-Replizierung
-
-
Sammlung separater PDF-Dokumente
Creating your file...
Ab ONTAP 9.12.1 enthält ONTAP eine vordefinierte Rolle zur rollenbasierten Zugriffssteuerung (Role Based Access Control, RBAC) admin-no-fsa. Der admin-no-fsa Rolle gewährt Berechtigungen auf Administratorebene, verhindert jedoch, dass der Benutzer Vorgänge im Zusammenhang mit dem ausführt files endpunkt (d. h. Dateisystemanalyse) ist in der ONTAP CLI, DER REST-API und in System Manager enthalten.
Weitere Informationen zum admin-no-fsa Rolle, siehe Vordefinierte Rollen für Cluster-Administratoren.
Wenn Sie eine Version von ONTAP verwenden, die vor ONTAP 9.12.1 veröffentlicht wurde, müssen Sie eine dedizierte Rolle erstellen, um den Zugriff auf Dateisystemanalysen zu steuern. Vor ONTAP Versionen von ONTAP 9.12.1 müssen Sie RBAC-Berechtigungen über die ONTAP CLI oder die ONTAP REST API konfigurieren.
Ab ONTAP 9.12.1 können Sie RBAC-Berechtigungen für die Dateisystemanalyse mit System Manager konfigurieren.
-
Wählen Sie Cluster > Einstellungen. Navigieren Sie unter Sicherheit zu Benutzer und Rollen und wählen Sie
. -
Wählen Sie unter Rollen die Option
. -
Geben Sie einen Namen für die Rolle ein. Konfigurieren Sie unter Rollenattribute den Zugriff oder die Einschränkungen für die Benutzerrolle, indem Sie das entsprechende festlegen "API-Endpunkte". In der folgenden Tabelle finden Sie primäre Pfade und sekundäre Pfade zum Konfigurieren von Zugriff oder Einschränkungen bei der Dateisystemanalyse.
Einschränkung Primärer Pfad Sekundärer Pfad Verfolgung von Aktivitäten auf Volumes
/api/storage/volumes-
/:uuid/top-metrics/directories -
/:uuid/top-metrics/files -
/:uuid/top-metrics/clients -
/:uuid/top-metrics/users
Verfolgung von Aktivitäten auf SVMs
/api/svm/svms-
/:uuid/top-metrics/directories -
/:uuid/top-metrics/files -
/:uuid/top-metrics/clients -
/:uuid/top-metrics/users
Alle Dateisystemanalysen
/api/storage/volumes/:uuid/filesVerwenden Sie können
/*/Statt einer UUID zur Festlegung der Richtlinie für alle Volumes oder SVMs am Endpunkt.Wählen Sie die Zugriffsberechtigungen für jeden Endpunkt aus.
-
-
Wählen Sie Speichern.
-
Informationen zum Zuweisen der Rolle zu einem Benutzer oder Benutzer finden Sie unter Kontrolle des Administratorzugriffs.
Wenn Sie eine vor ONTAP 9.12.1 veröffentlichte ONTAP Version verwenden, erstellen Sie eine benutzerdefinierte Rolle mithilfe der CLI von ONTAP.
-
Erstellen Sie eine Standardrolle, um Zugriff auf alle Funktionen zu haben.
Dies muss vor der Erstellung der restriktiven Rolle erfolgen, um sicherzustellen, dass die Rolle nur auf der Verfolgung von Aktivitäten beschränkt ist:
security login role create -cmddirname DEFAULT -access all -role storageAdmin -
Erstellen Sie die restriktive Rolle:
security login role create -cmddirname "volume file show-disk-usage" -access none -role storageAdmin -
Autorisieren Sie Rollen für den Zugriff auf die Web-Services der SVM:
-
restFür REST-API-Aufrufe -
securityFür den Kennwortschutz -
sysmgrFür System Manager Zugriffvserver services web access create -vserver svm-name -name_ -name rest -role storageAdminvserver services web access create -vserver svm-name -name security -role storageAdmin
vserver services web access create -vserver svm-name -name sysmgr -role storageAdmin -
-
Erstellen Sie einen Benutzer.
Sie müssen für jede Anwendung, die Sie auf den Benutzer anwenden möchten, einen eindeutigen Erstellungsbefehl ausgeben. Beim Aufruf Erstellen mehrfach auf demselben Benutzer werden einfach alle Anwendungen auf einen Benutzer angewendet und nicht jedes Mal ein neuer Benutzer erstellt. Der
httpParameter für Applikationstyp gilt für die ONTAP REST API und System Manager.security login create -user-or-group-name storageUser -authentication-method password -application http -role storageAdmin -
Mit den neuen Benutzeranmeldeinformationen können Sie sich jetzt bei System Manager anmelden oder über die ONTAP REST-API auf Daten zur Analyse von Dateisystemen zugreifen.