Control de acceso basado en roles con Análisis del sistema de archivos
Sugerir cambios
PDF
A partir de ONTAP 9.12.1, ONTAP incluye un rol predefinido denominado control de acceso basado en roles (RBAC) admin-no-fsa. La admin-no-fsa el rol concede privilegios a nivel de administrador, pero impide que el usuario realice operaciones relacionadas con files Extremo (es decir, análisis del sistema de archivos) en la interfaz de línea de comandos de ONTAP, la API DE REST y System Manager.
Para obtener más información sobre admin-no-fsa función, consulte Roles predefinidos para administradores de clúster.
Si utiliza una versión de ONTAP publicada antes de ONTAP 9.12.1, tendrá que crear un rol dedicado para controlar el acceso al análisis del sistema de archivos. En las versiones de ONTAP anteriores a ONTAP 9.12.1, debe configurar los permisos de RBAC a través de la interfaz de línea de comandos de ONTAP o la API DE REST de ONTAP.
A partir de ONTAP 9.12.1, puede configurar permisos de RBAC para análisis de sistemas de archivos con System Manager.
-
Seleccione Cluster > Settings. En Seguridad, navegue hasta Usuarios y Roles y seleccione
. -
En Roles, seleccione
. -
Escriba un nombre para el rol. En atributos de función, configure el acceso o las restricciones para la función de usuario proporcionando el adecuado "Extremos de API". Consulte la tabla siguiente para ver las rutas principales y las rutas secundarias para configurar restricciones o acceso al análisis del sistema de archivos.
Restricción Ruta primaria Ruta secundaria Seguimiento de actividad en volúmenes
/api/storage/volumes-
/:uuid/top-metrics/directories -
/:uuid/top-metrics/files -
/:uuid/top-metrics/clients -
/:uuid/top-metrics/users
Seguimiento de actividad en las SVM
/api/svm/svms-
/:uuid/top-metrics/directories -
/:uuid/top-metrics/files -
/:uuid/top-metrics/clients -
/:uuid/top-metrics/users
Todas las operaciones de análisis del sistema de archivos
/api/storage/volumes/:uuid/filesPuede utilizar
/*/En lugar de un UUID para establecer la política para todos los volúmenes o SVM en el extremo.Elija los privilegios de acceso para cada extremo.
-
-
Seleccione Guardar.
-
Para asignar el rol a un usuario o a un usuario, consulte Control del acceso de administradores.
Si utiliza una versión de ONTAP publicada antes de ONTAP 9.12.1, utilice la interfaz de línea de comandos de ONTAP para crear un rol personalizado.
-
Cree una función predeterminada para tener acceso a todas las funciones.
Esto debe hacerse antes de crear la función restrictiva para asegurarse de que la función sólo se limita en el seguimiento de actividad:
security login role create -cmddirname DEFAULT -access all -role storageAdmin -
Cree el rol restrictivo:
security login role create -cmddirname "volume file show-disk-usage" -access none -role storageAdmin -
Autorice a los roles para acceder a los servicios web de la SVM:
-
restPara llamadas a la API DE REST -
securitypara protección mediante contraseña -
sysmgrPara acceder a System Managervserver services web access create -vserver svm-name -name_ -name rest -role storageAdminvserver services web access create -vserver svm-name -name security -role storageAdmin
vserver services web access create -vserver svm-name -name sysmgr -role storageAdmin -
-
Cree un usuario.
Debe emitir un comando CREATE distinto para cada aplicación que desee aplicar al usuario. Llamar crea varias veces en el mismo usuario simplemente aplica todas las aplicaciones a ese usuario y no crea un nuevo usuario cada vez. La
httpEl parámetro del tipo de aplicación se aplica a la API REST de ONTAP y System Manager.security login create -user-or-group-name storageUser -authentication-method password -application http -role storageAdmin -
Ahora, con las credenciales de usuario nuevas, puede iniciar sesión en System Manager o usar la API DE REST de ONTAP para acceder a los datos de análisis de sistemas de archivos.