Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Gestione reglas de operaciones protegidas

Colaboradores
PDF

Se crean reglas de verificación de varios administradores (MAV) para designar operaciones que requieren aprobación. Siempre que se inicia una operación, las operaciones protegidas se interceptan y se genera una solicitud de aprobación.

Las reglas se pueden crear antes de habilitar MAV por cualquier administrador con las capacidades RBAC adecuadas, pero una vez que MAV está activado, cualquier modificación del conjunto de reglas requiere la aprobación de MAV.

Sólo se puede crear una regla MAV por operación; por ejemplo, no se pueden crear varias volume-snapshot-delete reglas. Cualquier restricción de regla deseada debe estar contenida dentro de una regla.

Puede crear reglas para proteger "estos comandos". Puede proteger cada comando comenzando por la versión de ONTAP, en la que se encuentra disponible la funcionalidad de protección para el comando primero.

Las reglas para los comandos MAV system-default, el security multi-admin-verify "comandos", no se puede modificar.

Además de las operaciones definidas por el sistema, los siguientes comandos están protegidos de forma predeterminada cuando se habilita la verificación multiadministrador, pero se pueden modificar las reglas para quitar la protección de estos comandos.

  • security login password

  • security login unlock

  • set

Restricciones de regla

Al crear una regla, puede especificar opcionalmente la -query opción para limitar la solicitud a un subconjunto de la funcionalidad del comando. La -query La opción también se puede usar para limitar elementos de configuración, como los nombres de la SVM, del volumen y de las snapshots.

Por ejemplo, en la volume snapshot delete comando, -query se puede establecer en -snapshot !hourly*,!daily*,!weekly*, Lo que significa que las instantáneas de volumen con el prefijo de atributos por hora, diario o semanal se excluyen de las protecciones MAV.

smci-vsim20::> security multi-admin-verify rule show
                                               Required  Approval
Vserver Operation                              Approvers Groups
------- -------------------------------------- --------- -------------
vs01    volume snapshot delete                 -         -
          Query: -snapshot !hourly*,!daily*,!weekly*
Nota MAV no protegería ningún elemento de configuración excluido y cualquier administrador podría suprimirlos o cambiarles el nombre.

De forma predeterminada, las reglas especifican que corresponde security multi-admin-verify request create “protected_operation” el comando se genera automáticamente cuando se introduce una operación protegida. Puede modificar este valor predeterminado para requerir que el request create el comando se introduce por separado.

De forma predeterminada, las reglas heredan la siguiente configuración global de MAV, aunque se pueden especificar excepciones específicas de reglas:

  • Número de aprobadores requerido

  • Grupos de aprobación

  • Período de caducidad de la aprobación

  • Periodo de caducidad de ejecución

Procedimiento de System Manager

Si desea añadir una regla de operación protegida por primera vez, consulte el procedimiento de System Manager a. "habilite la verificación multi-admin."

Para modificar el conjunto de reglas existente:

  1. Seleccione Cluster > Settings.

  2. Seleccione El icono Actions junto a Aprobación multiadministrador en la sección Seguridad.

  3. Seleccione esta opción Icono Agregar para agregar al menos una regla; también puede modificar o suprimir las reglas existentes.

    • Operación: Seleccione un comando admitido de la lista.

    • Query: Introduzca los valores y las opciones de comandos que desee.

    • Parámetros opcionales: Dejar en blanco para aplicar la configuración global o asignar un valor diferente para reglas específicas para anular la configuración global.

      • Número requerido de aprobadores

      • Grupos de aprobación

Procedimiento de la CLI

Nota Todo security multi-admin-verify rule Los comandos requieren la aprobación del administrador de MAV antes de la ejecución excepto security multi-admin-verify rule show.
Si desea… Introduzca este comando

Cree una regla

security multi-admin-verify rule create -operation “protected_operation” [-query operation_subset] [parameters]

Modifique las credenciales de los administradores actuales

security login modify <parameters>

Ejemplo: La siguiente regla requiere aprobación para eliminar el volumen raíz.

security multi-admin-verify rule create -operation "volume delete" -query "-vserver vs0"

Modificar una regla

security multi-admin-verify rule modify -operation “protected_operation” [parameters]

Eliminar una regla

security multi-admin-verify rule delete -operation “protected_operation”

Muestra las reglas

security multi-admin-verify rule show

Para obtener detalles de sintaxis de comandos, consulte security multi-admin-verify rule páginas de manual.