Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Control de acceso basado en roles con Análisis del sistema de archivos

Colaboradores

A partir de ONTAP 9.12.1, ONTAP incluye un rol predefinido denominado control de acceso basado en roles (RBAC) admin-no-fsa. La admin-no-fsa el rol concede privilegios a nivel de administrador, pero impide que el usuario realice operaciones relacionadas con files Extremo (es decir, análisis del sistema de archivos) en la interfaz de línea de comandos de ONTAP, la API DE REST y System Manager.

Para obtener más información sobre admin-no-fsa función, consulte Roles predefinidos para administradores de clúster.

Si utiliza una versión de ONTAP publicada antes de ONTAP 9.12.1, tendrá que crear un rol dedicado para controlar el acceso al análisis del sistema de archivos. En las versiones de ONTAP anteriores a ONTAP 9.12.1, debe configurar los permisos de RBAC a través de la interfaz de línea de comandos de ONTAP o la API DE REST de ONTAP.

System Manager

A partir de ONTAP 9.12.1, puede configurar permisos de RBAC para análisis de sistemas de archivos con System Manager.

Pasos
  1. Seleccione Cluster > Settings. En Seguridad, navegue hasta Usuarios y Roles y seleccione Icono de flecha.

  2. En Roles, seleccione Icono Agregar.

  3. Escriba un nombre para el rol. En atributos de función, configure el acceso o las restricciones para la función de usuario proporcionando el adecuado "Extremos de API". Consulte la tabla siguiente para ver las rutas principales y las rutas secundarias para configurar restricciones o acceso al análisis del sistema de archivos.

    Restricción Ruta primaria Ruta secundaria

    Seguimiento de actividad en volúmenes

    /api/storage/volumes

    • /:uuid/top-metrics/directories

    • /:uuid/top-metrics/files

    • /:uuid/top-metrics/clients

    • /:uuid/top-metrics/users

    Seguimiento de actividad en las SVM

    /api/svm/svms

    • /:uuid/top-metrics/directories

    • /:uuid/top-metrics/files

    • /:uuid/top-metrics/clients

    • /:uuid/top-metrics/users

    Todas las operaciones de análisis del sistema de archivos

    /api/storage/volumes

    /:uuid/files

    Puede utilizar /*/ En lugar de un UUID para establecer la política para todos los volúmenes o SVM en el extremo.

    Elija los privilegios de acceso para cada extremo.

  4. Seleccione Guardar.

  5. Para asignar el rol a un usuario o a un usuario, consulte Control del acceso de administradores.

CLI

Si utiliza una versión de ONTAP publicada antes de ONTAP 9.12.1, utilice la interfaz de línea de comandos de ONTAP para crear un rol personalizado.

Pasos
  1. Cree una función predeterminada para tener acceso a todas las funciones.

    Esto debe hacerse antes de crear la función restrictiva para asegurarse de que la función sólo se limita en el seguimiento de actividad:

    security login role create -cmddirname DEFAULT -access all -role storageAdmin

  2. Cree el rol restrictivo:

    security login role create -cmddirname "volume file show-disk-usage" -access none -role storageAdmin

  3. Autorice a los roles para acceder a los servicios web de la SVM:

    • rest Para llamadas a la API DE REST

    • security para protección mediante contraseña

    • sysmgr Para acceder a System Manager

      vserver services web access create -vserver svm-name -name_ -name rest -role storageAdmin

      vserver services web access create -vserver svm-name -name security -role storageAdmin

    vserver services web access create -vserver svm-name -name sysmgr -role storageAdmin

  4. Cree un usuario.

    Debe emitir un comando CREATE distinto para cada aplicación que desee aplicar al usuario. Llamar crea varias veces en el mismo usuario simplemente aplica todas las aplicaciones a ese usuario y no crea un nuevo usuario cada vez. La http El parámetro del tipo de aplicación se aplica a la API REST de ONTAP y System Manager.

    security login create -user-or-group-name storageUser -authentication-method password -application http -role storageAdmin

  5. Ahora, con las credenciales de usuario nuevas, puede iniciar sesión en System Manager o usar la API DE REST de ONTAP para acceder a los datos de análisis de sistemas de archivos.