Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Verwalten von Regeln für geschützte Vorgänge

Beitragende
PDFs

Sie erstellen MAV-Regeln (Multi-Admin Verification), um Vorgänge zu bestimmen, die genehmigt werden müssen. Sobald ein Vorgang initiiert wird, werden geschützte Vorgänge abgefangen und eine Anfrage zur Genehmigung generiert.

Regeln können erstellt werden, bevor sie MAV durch einen beliebigen Administrator mit entsprechenden RBAC-Funktionen aktivieren. Sobald MAV aktiviert ist, ist bei jeder Änderung der Regelsammlung die Genehmigung durch MAV erforderlich.

Pro Vorgang kann nur eine MAV-Regel erstellt werden, z. B. können Sie nicht mehrere volume-snapshot-delete Regeln erstellen. Alle gewünschten Regelbedingungen müssen in einer Regel enthalten sein.

Sie können Regeln zum Schutz erstellen"Über diese Befehle". Sie können jeden Befehl schützen, beginnend mit der ONTAP-Version, in der Sicherungsfunktionen für den Befehl zum ersten Mal verfügbar sind.

Die Regeln für MAV-System-default-Befehle security multi-admin-verify "Befehle", können nicht geändert werden.

Zusätzlich zu systemdefinierten Vorgängen sind die folgenden Befehle standardmäßig geschützt, wenn die Verifizierung mehrerer Administratoren aktiviert ist. Sie können die Regeln jedoch ändern, um den Schutz für diese Befehle zu entfernen.

  • security login password

  • security login unlock

  • set

Regelbeschränkungen

Wenn Sie eine Regel erstellen, können Sie optional die -query Option angeben, um die Anforderung auf eine Teilmenge der Befehlsfunktionalität zu beschränken. Die -query Option kann zudem verwendet werden, um Konfigurationselemente wie SVM, Volume und Snapshot Namen zu beschränken.

Beispielsweise volume snapshot delete -query kann im Befehl auf festgelegt werden, -snapshot !hourly*,!daily*,!weekly* d. h., dass Volume Snapshots mit stündlichen, täglichen oder wöchentlichen Attributen vom MAV-Schutz ausgeschlossen sind.

smci-vsim20::> security multi-admin-verify rule show
                                               Required  Approval
Vserver Operation                              Approvers Groups
------- -------------------------------------- --------- -------------
vs01    volume snapshot delete                 -         -
          Query: -snapshot !hourly*,!daily*,!weekly*
Hinweis Alle ausgeschlossenen Konfigurationselemente werden nicht durch MAV geschützt, und jeder Administrator kann sie löschen oder umbenennen.

Standardmäßig legen Regeln fest, dass ein entsprechender security multi-admin-verify request create “protected_operation” Befehl automatisch generiert wird, wenn ein geschützter Vorgang eingegeben wird. Sie können diese Standardeinstellung so ändern, dass der request create Befehl separat eingegeben werden muss.

Standardmäßig erben Regeln die folgenden globalen MAV-Einstellungen, obwohl regelspezifische Ausnahmen angegeben werden können:

  • Erforderliche Anzahl der Genehmiger

  • Genehmigungsgruppen

  • Ablauffrist der Genehmigung

  • Ablauffrist der Ausführung

System Manager Verfahren

Wenn Sie zum ersten Mal eine Regel für einen geschützten Vorgang hinzufügen möchten, lesen Sie das Verfahren von System Manager zu "Aktivieren Sie die Verifizierung für mehrere Administratoren."

So ändern Sie den vorhandenen Regelsatz:

  1. Wählen Sie Cluster > Einstellungen.

  2. Wählen Sie Aktionssymbol im Abschnitt Sicherheit neben Multi-Admin Approval aus.

  3. Wählen Sie diese Option Symbol hinzufügen , um mindestens eine Regel hinzuzufügen. Sie können auch vorhandene Regeln ändern oder löschen.

    • Operation – Wählen Sie einen unterstützten Befehl aus der Liste aus.

    • Abfrage – Geben Sie alle gewünschten Befehlsoptionen und Werte ein.

    • Optionale Parameter: Lassen Sie das Feld leer, um globale Einstellungen anzuwenden, oder weisen Sie einen anderen Wert für bestimmte Regeln zu, um die globalen Einstellungen zu überschreiben.

      • Erforderliche Anzahl an Genehmigern

      • Genehmigungsgruppen

CLI-Verfahren

Hinweis Alle security multi-admin-verify rule Befehle erfordern eine MAV-Administratorgenehmigung vor der Ausführung außer security multi-admin-verify rule show.
Wenn Sie… wollen Geben Sie diesen Befehl ein

Erstellen Sie eine Regel

security multi-admin-verify rule create -operation “protected_operation” [-query operation_subset] [parameters]

Ändern der Anmeldeinformationen aktueller Administratoren

security login modify <parameters>

Beispiel: Die folgende Regel erfordert die Genehmigung, um das Root-Volume zu löschen.

security multi-admin-verify rule create -operation "volume delete" -query "-vserver vs0"

Regel ändern

security multi-admin-verify rule modify -operation “protected_operation” [parameters]

Löschen Sie eine Regel

security multi-admin-verify rule delete -operation “protected_operation”

Regeln anzeigen

security multi-admin-verify rule show

Details zur Befehlssyntax finden Sie in den security multi-admin-verify rule man-Pages.