Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Verwalten von Regeln für geschützte Vorgänge

Beitragende
PDFs

Sie erstellen MAV-Regeln (Multi-Admin Verification), um Vorgänge zu bestimmen, die genehmigt werden müssen. Sobald ein Vorgang initiiert wird, werden geschützte Vorgänge abgefangen und eine Anfrage zur Genehmigung generiert.

Regeln können erstellt werden, bevor sie MAV durch einen beliebigen Administrator mit entsprechenden RBAC-Funktionen aktivieren. Sobald MAV aktiviert ist, ist bei jeder Änderung der Regelsammlung die Genehmigung durch MAV erforderlich.

Pro Vorgang kann nur eine MAV-Regel erstellt werden, z. B. können Sie nicht mehrere erstellen volume-snapshot-delete Regeln. Alle gewünschten Regelbedingungen müssen in einer Regel enthalten sein.

Regelgeschützte Befehle

Ab ONTAP 9.11.1 können Sie Regeln zum Schutz der folgenden Befehle erstellen.

cluster peer delete

event config modify

security login create

security login delete

security login modify

system node run

system node systemshell

volume delete

volume flexcache delete

volume snapshot autodelete modify

volume snapshot delete

volume snapshot policy add-schedule

volume snapshot policy create

volume snapshot policy delete

volume snapshot policy modify

volume snapshot policy modify-schedule

volume snapshot policy remove-schedule

volume snapshot restore

vserver peer delete

Sie können Regeln erstellen, um die folgenden Befehle ab ONTAP 9.13.1 zu schützen:

  • volume snaplock modify

  • security anti-ransomware volume attack clear-suspect

  • security anti-ransomware volume disable

  • security anti-ransomware volume pause

Sie können Regeln erstellen, um die folgenden Befehle ab ONTAP 9.14.1 zu schützen:

  • volume recovery-queue modify

  • volume recovery-queue purge

  • volume recovery-queue purge-all

  • vserver modify

Die Regeln für MAV-System-default-Befehle, die security multi-admin-verify "Befehle", Kann nicht geändert werden.

Zusätzlich zu den systemdefinierten Befehlen sind die folgenden Befehle standardmäßig geschützt, wenn die Multi-Admin-Überprüfung aktiviert ist. Sie können jedoch die Regeln ändern, um den Schutz für diese Befehle zu entfernen.

  • security login password

  • security login unlock

  • set

Regelbeschränkungen

Beim Erstellen einer Regel können Sie optional die angeben -query Option, um die Anforderung auf einen Teil der Befehlsfunktion zu beschränken. Der -query Zudem lassen sich Konfigurationselemente wie SVM, Volume und Snapshot Namen begrenzen.

Beispiel: In volume snapshot delete Befehl, -query Kann auf eingestellt werden -snapshot !hourly*,!daily*,!weekly*, Das bedeutet, dass Volume Snapshots mit stündlichen, täglichen oder wöchentlichen Attributen von MAV-Schutzmaßnahmen ausgeschlossen sind.

smci-vsim20::> security multi-admin-verify rule show
                                               Required  Approval
Vserver Operation                              Approvers Groups
------- -------------------------------------- --------- -------------
vs01    volume snapshot delete                 -         -
          Query: -snapshot !hourly*,!daily*,!weekly*
Hinweis Alle ausgeschlossenen Konfigurationselemente werden nicht durch MAV geschützt, und jeder Administrator kann sie löschen oder umbenennen.

Standardmäßig wird durch Regeln ein entsprechendes festgelegt security multi-admin-verify request create “protected_operation” Der Befehl wird automatisch generiert, wenn ein geschützter Vorgang eingegeben wird. Sie können diese Standardeinstellung so ändern, dass sie den erfordert request create Befehl separat eingegeben werden.

Standardmäßig erben Regeln die folgenden globalen MAV-Einstellungen, obwohl regelspezifische Ausnahmen angegeben werden können:

  • Erforderliche Anzahl der Genehmiger

  • Genehmigungsgruppen

  • Ablauffrist der Genehmigung

  • Ablauffrist der Ausführung

System Manager Verfahren

Wenn Sie zum ersten Mal eine Regel für geschützte Vorgänge hinzufügen möchten, lesen Sie die Verfahren zu System Manager nach "Aktivieren Sie die Verifizierung für mehrere Administratoren."

So ändern Sie den vorhandenen Regelsatz:

  1. Wählen Sie Cluster > Einstellungen.

  2. Wählen Sie Zahnrad-Symbol Neben Multi-Admin-Genehmigung im Abschnitt Sicherheit.

  3. Wählen Sie Symbol hinzufügen Zum Hinzufügen von mindestens einer Regel können Sie auch vorhandene Regeln ändern oder löschen.

    • Operation – Wählen Sie einen unterstützten Befehl aus der Liste aus.

    • Abfrage – Geben Sie alle gewünschten Befehlsoptionen und Werte ein.

    • Optionale Parameter: Lassen Sie das Feld leer, um globale Einstellungen anzuwenden, oder weisen Sie einen anderen Wert für bestimmte Regeln zu, um die globalen Einstellungen zu überschreiben.

      • Erforderliche Anzahl an Genehmigern

      • Genehmigungsgruppen

CLI-Verfahren

Hinweis Alle security multi-admin-verify rule Befehle erfordern vor der Ausführung eine Genehmigung des MAV-Administrators außer security multi-admin-verify rule show.
Wenn Sie… wollen Geben Sie diesen Befehl ein

Erstellen Sie eine Regel

security multi-admin-verify rule create -operation “protected_operation” [-query operation_subset] [parameters]

Ändern der Anmeldeinformationen aktueller Administratoren

security login modify <parameters>

Beispiel: Die folgende Regel erfordert die Genehmigung, um das Root-Volume zu löschen.

security multi-admin-verify rule create -operation "volume delete" -query "-vserver vs0"

Regel ändern

security multi-admin-verify rule modify -operation “protected_operation” [parameters]

Löschen Sie eine Regel

security multi-admin-verify rule delete -operation “protected_operation”

Regeln anzeigen

security multi-admin-verify rule show

Details zur Befehlssyntax finden Sie im security multi-admin-verify rule Man-Pages.