Obtenga más información sobre la gestión de identidades y accesos de BlueXP
Sugerir cambios
PDF
La gestión de identidades y accesos (IAM) de BlueXP le permite organizar y controlar el acceso a sus recursos de NetApp. Puede organizar sus recursos de acuerdo con la jerarquía de su organización. Por ejemplo, puede organizar recursos por ubicación geográfica, sitio o unidad de negocio. A continuación, puede asignar roles de IAM a miembros de partes específicas de la jerarquía, lo que impide el acceso a recursos en otras partes de la jerarquía.
Cómo funciona BlueXP IAM
BlueXP IAM permite otorgar acceso a recursos asignando roles de acceso a usuarios a partes específicas de la jerarquía. Por ejemplo, a un miembro se le puede asignar el rol de administrador de carpeta o de proyecto para un proyecto con cinco recursos.
Al utilizar BlueXP IAM, gestionará los siguientes componentes:
-
La organización
-
Carpetas
-
Proyectos
-
Recursos
-
Miembros
-
Roles y permisos
-
Conectores
Los recursos de BlueXP se organizan jerárquicamente:
-
La organización es la parte superior de la jerarquía.
-
Las carpetas son hijos de la organización o de otra carpeta.
-
Los proyectos son hijos de la organización o de una carpeta.
-
Los recursos están asociados a una o más carpetas o proyectos.
La siguiente imagen ilustra esta jerarquía en un nivel básico.
Organización
Una ORGANIZATION es el nivel superior del sistema IAM de BlueXP y, por lo general, representa a su empresa. La organización consta de carpetas, proyectos, miembros, roles y recursos. Los conectores están asociados a proyectos específicos de la organización.
Carpetas
A FOLDER le permite agrupar proyectos relacionados y separarlos de otros proyectos de la organización. Por ejemplo, una carpeta puede representar una ubicación geográfica (UE o EE.UU. Este), un sitio (Londres o Toronto) o una unidad de negocio (ingeniería o marketing).
Las carpetas pueden contener proyectos, otras carpetas o ambos. La creación de carpetas es opcional.
Proyectos
Un project representa un espacio de trabajo en BlueXP al que los miembros de la organización acceden desde el lienzo de BlueXP para gestionar los recursos. Por ejemplo, un proyecto puede incluir un sistema Cloud Volumes ONTAP, un clúster de ONTAP en las instalaciones o un sistema de archivos FSx para ONTAP.
Una organización puede tener uno o varios proyectos. Un proyecto puede residir directamente debajo de la organización o dentro de una carpeta.
Recursos
Un RESOURCE es un entorno de trabajo que ha creado o detectado en BlueXP .
Al crear o detectar un recurso, el recurso se asocia al proyecto seleccionado actualmente. Ese puede ser el único proyecto al que desea asociar este recurso. Pero puede optar por asociar el recurso con proyectos adicionales en su organización.
Por ejemplo, puede asociar un sistema Cloud Volumes ONTAP a un proyecto adicional o a todos los proyectos de la organización. La forma en que se asocia un recurso depende de las necesidades de su organización.
|
También puede asociar un conector a otra carpeta o proyecto de su organización. Obtenga más información sobre el uso de conectores con BlueXP IAM. |
Cuándo asociar un recurso a una carpeta
También tiene la opción de asociar un recurso a una carpeta, pero esto es opcional y satisface las necesidades de un caso de uso específico.
Un administrador de la organización puede asociar un recurso con una carpeta para permitir que un administrador de carpeta o proyecto vincule ese recurso con los proyectos apropiados en la carpeta.
Por ejemplo, supongamos que tiene una carpeta que contiene dos proyectos:
Organization admin puede asociar un recurso a la carpeta:
Asociar un recurso a una carpeta no lo hace accesible a todos los proyectos; solo el administrador de la carpeta o del proyecto puede verlo. El administrador de la carpeta o del proyecto decide qué proyectos pueden acceder a él y lo asocia con los proyectos correspondientes.
En este ejemplo, el administrador asocia el recurso con el Proyecto A:
Los miembros que tienen permisos para el proyecto A ahora pueden acceder al recurso.
Miembros
Los miembros de su organización son cuentas de usuario o cuentas de servicio. Una cuenta de servicio suele ser utilizada por una aplicación para completar tareas especificadas sin intervención humana.
Cada organización incluye al menos un usuario con el rol Administrador de la organización (BlueXP asigna automáticamente este rol al usuario que crea la organización). Puede agregar otros miembros a la organización y asignar diferentes permisos en diferentes niveles de la jerarquía de recursos.
Roles y permisos
En BlueXP IAM, no otorga permisos directamente a los miembros de la organización. En su lugar, debe otorgar a cada miembro un rol. Un rol contiene un juego de permisos que permite a un miembro realizar acciones específicas en un nivel específico de la jerarquía de recursos.
Otorgar permisos en un nivel de jerarquía específico restringe el acceso a los recursos que un miembro necesita y los servicios que puede usar con esos recursos.
Donde puede asignar roles en la jerarquía
Cuando asocia un miembro a un rol, debe seleccionar toda la organización, una carpeta específica o un proyecto específico. El rol que seleccione otorga permisos de miembro a los recursos de la parte seleccionada de la jerarquía.
Herencia de roles
Al asignar un rol, el rol se hereda por la jerarquía de la organización:
- Organización
-
Otorgarle a un miembro un rol de acceso a nivel de organización le otorga permisos para todas las carpetas, proyectos y recursos.
- Carpetas
-
Cuando se otorga un rol de acceso a nivel de carpeta, todas las carpetas, proyectos y recursos de la carpeta heredan ese rol.
Por ejemplo, si asigna un rol en el nivel de carpeta y esa carpeta tiene tres proyectos, el miembro tendrá permisos para esos tres proyectos y cualquier recurso asociado.
- Proyectos
-
Cuando se otorga un rol de acceso a nivel de proyecto, todos los recursos asociados con ese proyecto heredan ese rol.
Varios roles
Puede asignar a cada miembro de la organización un rol en diferentes niveles de la jerarquía de la organización. Puede ser el mismo rol o un rol diferente. Por ejemplo, puede asignar un rol de miembro A para el proyecto 1 y el proyecto 2. También puede asignar un rol de miembro A para el proyecto 1 y el rol B para el proyecto 2.
Acceda a roles
BlueXP admite varios roles predefinidos que puede asignar a los miembros de la organización.
Conectores
Cuando un Organization admin crea un conector, BlueXP asocia automáticamente ese conector con la organización y el proyecto seleccionado actualmente. Organization admin tiene acceso automáticamente a ese conector desde cualquier lugar de la organización. Pero si tiene otros miembros en la organización con roles diferentes, esos miembros solo podrán acceder a ese conector desde el proyecto en el que se creó, a menos que asocie ese conector con otros proyectos.
Pon un conector a disposición de otro proyecto en estos casos:
-
Desea permitir que los miembros de la organización utilicen un conector existente para crear o detectar entornos de trabajo adicionales en otro proyecto
-
Ha asociado un recurso existente a otro proyecto y ese recurso lo gestiona un conector
Si se descubre un recurso que asocia con un proyecto adicional mediante un conector BlueXP, también deberá asociar el conector con el proyecto con el que ahora está asociado el recurso. De lo contrario, el conector y su recurso asociado no serán accesibles desde el lienzo de BlueXP para los miembros que no tengan el rol de Administrador de la organización.
Puede crear una asociación desde la página Conectores en BlueXP IAM:
-
Asociar un conector a un proyecto
Al asociar un conector a un proyecto, se puede acceder a dicho conector desde el lienzo de BlueXP al visualizar el proyecto.
-
Asociar un conector a una carpeta
La asociación de un conector a una carpeta no hace que ese conector sea accesible automáticamente desde todos los proyectos de la carpeta. Los miembros de la organización no pueden acceder a un conector desde un proyecto hasta que no asocie el conector a ese proyecto específico.
Un Organization admin puede asociar un Connector a una carpeta para que Folder o project admin pueda tomar la decisión de asociar ese Connector a los proyectos apropiados que residen en la carpeta.
Ejemplos de IAM
Estos ejemplos demuestran cómo podría configurar su organización.
Organización sencilla
El siguiente diagrama muestra un ejemplo sencillo de una organización que utiliza el proyecto predeterminado y ninguna carpeta. Un solo miembro gestiona toda la organización.
Organización avanzada
El siguiente diagrama muestra una organización que utiliza carpetas para organizar los proyectos para cada ubicación geográfica de la empresa. Cada proyecto tiene su propio conjunto de recursos asociados. Los miembros incluyen un administrador de la organización y un administrador para cada carpeta de la organización.
Qué puede hacer con IAM de BlueXP
En los siguientes ejemplos se describe cómo utilizar IAM para gestionar su organización de BlueXP :
-
Otorgue roles específicos a miembros específicos para que solo puedan completar las tareas necesarias.
-
Modificar los permisos de los miembros porque han movido departamentos o porque tienen responsabilidades adicionales.
-
Eliminar un usuario que abandonó la empresa.
-
Agregue carpetas o proyectos a la jerarquía porque una nueva unidad de negocio ha agregado almacenamiento NetApp.
-
Asocie un recurso a otro proyecto porque ese recurso tiene capacidad que otro equipo puede utilizar.
-
Ver los recursos a los que puede acceder un miembro.
-
Ver los miembros y recursos asociados a un proyecto específico.