Rollenbasierte Zugriffssteuerung in SnapCenter
Mit der rollenbasierten Zugriffskontrolle (RBAC) und den ONTAP Berechtigungen von SnapCenter können SnapCenter -Administratoren Benutzern oder Gruppen Ressourcenzugriff zuweisen. Dieser zentral verwaltete Zugriff ermöglicht Anwendungsadministratoren, sicher in bestimmten Umgebungen zu arbeiten.
Sie sollten Rollen erstellen oder ändern und Benutzern Ressourcenzugriff gewähren. Wenn Sie SnapCenter zum ersten Mal einrichten, fügen Sie Active Directory-Benutzer oder -Gruppen zu Rollen hinzu und weisen Sie diesen Benutzern oder Gruppen Ressourcen zu.
|
SnapCenter erstellt keine Benutzer- oder Gruppenkonten. Erstellen Sie Benutzer- oder Gruppenkonten im Active Directory des Betriebssystems oder der Datenbank. |
Typen der RBAC in SnapCenter
SnapCenter unterstützt die folgenden Arten der rollenbasierten Zugriffskontrolle:
-
SnapCenter RBAC
-
RBAC auf Applikationsebene
-
SnapCenter Plug-in für VMware vSphere RBAC
-
ONTAP-Berechtigungen
SnapCenter RBAC
SnapCenter verfügt über vordefinierte Rollen und Sie können diesen Rollen Benutzer oder Gruppen zuweisen.
-
SnapCenter Administratorrolle
-
Administratorrolle für App Backup und Klonen
-
Backup und Clone Viewer-Rolle
-
Rolle für den Infrastrukturadministrator
Wenn Sie einem Benutzer eine Rolle zuweisen, zeigt SnapCenter die für diesen Benutzer relevanten Jobs auf der Seite „Jobs“ an, es sei denn, der Benutzer verfügt über die Rolle „SnapCenterAdmin“.
Sie können auch neue Rollen erstellen und Berechtigungen und Benutzer verwalten. Sie können Benutzern oder Gruppen Berechtigungen zuweisen, um auf SnapCenter-Objekte wie Hosts, Speicherverbindungen und Ressourcengruppen zuzugreifen.
Sie können Benutzern und Gruppen innerhalb derselben Gesamtstruktur und Benutzern, die zu verschiedenen Wäldern gehören, RBAC-Berechtigungen zuweisen. Sie können Benutzern, die zu verschachtelten Gruppen gehören, keine RBAC-Berechtigungen zuweisen.
|
Achten Sie beim Erstellen einer benutzerdefinierten Rolle darauf, dass diese alle Berechtigungen der SnapCenterAdmin-Rolle enthält. Wenn Sie nur einige Berechtigungen kopieren, verhindert SnapCenter , dass Sie alle Vorgänge ausführen. |
Benutzer müssen sich bei der Anmeldung über die Benutzeroberfläche oder PowerShell-Cmdlets authentifizieren. Wenn Benutzer mehrere Rollen haben, wählen sie nach der Anmeldung eine Rolle aus. Auch zum Ausführen von APIs ist eine Authentifizierung erforderlich.
RBAC auf Applikationsebene
SnapCenter verwendet die Zugangsdaten, um sicherzustellen, dass autorisierte SnapCenter Benutzer auch über Berechtigungen auf Applikationsebene verfügen.
Um beispielsweise Datenschutzvorgänge in einer SQL Server-Umgebung durchzuführen, legen Sie die richtigen Windows- oder SQL-Anmeldeinformationen fest. Wenn Sie Datenschutzvorgänge in einer Windows-Dateisystemumgebung auf ONTAP -Speicher durchführen möchten, muss die SnapCenter Administratorrolle über Administratorrechte auf dem Windows-Host verfügen.
Wenn Sie Datenschutzvorgänge für eine Oracle-Datenbank durchführen möchten und die Betriebssystemauthentifizierung auf dem Datenbankhost deaktiviert ist, müssen Sie die Anmeldeinformationen mit den Anmeldeinformationen der Oracle-Datenbank oder von Oracle ASM festlegen. Der SnapCenter -Server authentifiziert die festgelegten Anmeldeinformationen je nach Vorgang mit einer dieser Methoden.
SnapCenter Plug-in für VMware vSphere RBAC
Wenn Sie das SnapCenter VMware Plug-in für die VM-konsistente Datensicherung nutzen, bietet der vCenter Server zusätzliche RBAC-Level. Das SnapCenter VMware Plug-in unterstützt sowohl vCenter Server RBAC als auch ONTAP RBAC. "Weitere Informationen"
HINWEIS: NetApp empfiehlt, dass Sie eine ONTAP Rolle für SnapCenter Plug-in for VMware vSphere Vorgänge erstellen und ihr alle erforderlichen Berechtigungen zuweisen.
ONTAP-Berechtigungen
Sie sollten ein vsadmin-Konto mit den erforderlichen Berechtigungen für den Zugriff auf das Speichersystem erstellen."Weitere Informationen"
Berechtigungen, die den vordefinierten SnapCenter-Rollen zugewiesen sind
Wenn Sie einen Benutzer zu einer Rolle hinzufügen, weisen Sie ihm entweder die Berechtigung „StorageConnection“ zu, um die Kommunikation mit der Storage Virtual Machine (SVM) zu ermöglichen, oder weisen Sie dem Benutzer eine SVM zu, um ihm die Berechtigung zur Verwendung der SVM zu erteilen. Mit der Berechtigung „Speicherverbindung“ können Benutzer SVM-Verbindungen erstellen.
Beispielsweise kann ein SnapCenter Administrator SVM-Verbindungen erstellen und sie App Backup- und Clone-Administratorbenutzern zuweisen, die keine SVM-Verbindungen erstellen oder bearbeiten können. Ohne eine SVM-Verbindung können Benutzer keine Sicherungs-, Klon- oder Wiederherstellungsvorgänge durchführen.
SnapCenter Administratorrolle
In der SnapCenter-Administratorrolle sind alle Berechtigungen aktiviert. Sie können die Berechtigungen für diese Rolle nicht ändern. Sie können der Rolle Benutzer und Gruppen hinzufügen oder sie entfernen.
Administratorrolle für App Backup und Klonen
Die Rolle „App Backup“ und „Clone Admin“ verfügt über die erforderlichen Berechtigungen zur Durchführung administrativer Aktionen für Applikations-Backups und klonbezogene Aufgaben. Diese Rolle verfügt nicht über Berechtigungen für Host-Management, Bereitstellung, Storage-Verbindungs-Management oder Remote-Installation.
Berechtigungen | Aktiviert | Erstellen | Lesen | Aktualisierung | Löschen |
---|---|---|---|---|---|
Ressourcengruppe |
Keine Angabe |
Ja. |
Ja. |
Ja. |
Ja. |
Richtlinie |
Keine Angabe |
Ja. |
Ja. |
Ja. |
Ja. |
Backup |
Keine Angabe |
Ja. |
Ja. |
Ja. |
Ja. |
Host |
Keine Angabe |
Ja. |
Ja. |
Ja. |
Ja. |
Storage-Anbindung |
Keine Angabe |
Nein |
Ja. |
Nein |
Nein |
Klon |
Keine Angabe |
Ja. |
Ja. |
Ja. |
Ja. |
Bereitstellung |
Keine Angabe |
Nein |
Ja. |
Nein |
Nein |
Dashboard |
Ja. |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Berichte An |
Ja. |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Wiederherstellen |
Ja. |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Ressource |
Ja. |
Ja. |
Ja. |
Ja. |
Ja. |
Plug-in Installation/Deinstallation |
Nein |
Keine Angabe |
Keine Angabe |
Keine Angabe |
|
Migration |
Nein |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Montieren |
Ja. |
Ja. |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Unmounten |
Ja. |
Ja. |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Vollständige Volume-Wiederherstellung |
Nein |
Nein |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Zweitschutz |
Nein |
Nein |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Job-Überwachung |
Ja. |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Backup und Clone Viewer-Rolle
Die Rolle „Backup- und Klon-Viewer“ verfügt über die schreibgeschützte Ansicht aller Berechtigungen. Für diese Rolle sind außerdem Berechtigungen für die Erkennung, Berichterstellung und den Zugriff auf das Dashboard aktiviert.
Berechtigungen | Aktiviert | Erstellen | Lesen | Aktualisierung | Löschen |
---|---|---|---|---|---|
Ressourcengruppe |
Keine Angabe |
Nein |
Ja. |
Nein |
Nein |
Richtlinie |
Keine Angabe |
Nein |
Ja. |
Nein |
Nein |
Backup |
Keine Angabe |
Nein |
Ja. |
Nein |
Nein |
Host |
Keine Angabe |
Nein |
Ja. |
Nein |
Nein |
Storage-Anbindung |
Keine Angabe |
Nein |
Ja. |
Nein |
Nein |
Klon |
Keine Angabe |
Nein |
Ja. |
Nein |
Nein |
Bereitstellung |
Keine Angabe |
Nein |
Ja. |
Nein |
Nein |
Dashboard |
Ja. |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Berichte An |
Ja. |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Wiederherstellen |
Nein |
Nein |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Ressource |
Nein |
Nein |
Ja. |
Ja. |
Nein |
Plug-in Installation/Deinstallation |
Nein |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Migration |
Nein |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Montieren |
Ja. |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Unmounten |
Ja. |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Vollständige Volume-Wiederherstellung |
Nein |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Zweitschutz |
Nein |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Job-Überwachung |
Ja. |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Rolle für den Infrastrukturadministrator
Die Rolle „Infrastrukturadministrator“ hat Berechtigungen für Host-Management, Storage-Management, Bereitstellung, Ressourcengruppen, Remote-Installationsberichte, Zugriff auf das Dashboard.
Berechtigungen | Aktiviert | Erstellen | Lesen | Aktualisierung | Löschen |
---|---|---|---|---|---|
Ressourcengruppe |
Keine Angabe |
Ja. |
Ja. |
Ja. |
Ja. |
Richtlinie |
Keine Angabe |
Nein |
Ja. |
Ja. |
Ja. |
Backup |
Keine Angabe |
Ja. |
Ja. |
Ja. |
Ja. |
Host |
Keine Angabe |
Ja. |
Ja. |
Ja. |
Ja. |
Storage-Anbindung |
Keine Angabe |
Ja. |
Ja. |
Ja. |
Ja. |
Klon |
Keine Angabe |
Nein |
Ja. |
Nein |
Nein |
Bereitstellung |
Keine Angabe |
Ja. |
Ja. |
Ja. |
Ja. |
Dashboard |
Ja. |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Berichte An |
Ja. |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Wiederherstellen |
Ja. |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Ressource |
Ja. |
Ja. |
Ja. |
Ja. |
Ja. |
Plug-in Installation/Deinstallation |
Ja. |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Migration |
Nein |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Montieren |
Nein |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Unmounten |
Nein |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Vollständige Volume-Wiederherstellung |
Nein |
Nein |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Zweitschutz |
Nein |
Nein |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Job-Überwachung |
Ja. |
Keine Angabe |
Keine Angabe |
Keine Angabe |
Keine Angabe |