Gestione reglas de operaciones protegidas
-
PDF de este sitio de documentos
- Administración de clústeres
-
Administración de volúmenes
-
Gestión de almacenamiento lógico con CLI
- Utilice cuotas para restringir o realizar un seguimiento del uso de los recursos
-
Gestión de almacenamiento lógico con CLI
-
Gestión del almacenamiento nas
- Configure NFS con la CLI
- Gestione NFS con la interfaz de línea de comandos
-
Gestione SMB con la interfaz de línea de comandos
- Gestione servidores SMB
- Gestione el acceso a archivos mediante SMB
- Gestión del almacenamiento san
- Autenticación y control de acceso
- Seguridad y cifrado de datos
- Protección de datos y recuperación ante desastres
Recopilación de documentos PDF independientes
Creating your file...
Se crean reglas de verificación de varios administradores (MAV) para designar operaciones que requieren aprobación. Siempre que se inicia una operación, las operaciones protegidas se interceptan y se genera una solicitud de aprobación.
Las reglas se pueden crear antes de habilitar MAV por cualquier administrador con las capacidades RBAC adecuadas, pero una vez que MAV está activado, cualquier modificación del conjunto de reglas requiere la aprobación de MAV.
Sólo se puede crear una regla MAV por operación; por ejemplo, no se pueden crear varias volume-snapshot-delete
reglas. Cualquier restricción de regla deseada debe estar contenida dentro de una regla.
Comandos protegidos por reglas
Puede crear reglas para proteger los siguientes comandos que comienzan con ONTAP 9.11.1.
|
|
Puede crear reglas para proteger los siguientes comandos que comienzan con ONTAP 9.13.1:
-
volume snaplock modify
-
security anti-ransomware volume attack clear-suspect
-
security anti-ransomware volume disable
-
security anti-ransomware volume pause
Puede crear reglas para proteger los siguientes comandos que comienzan con ONTAP 9.14.1:
-
volume recovery-queue modify
-
volume recovery-queue purge
-
volume recovery-queue purge-all
-
vserver modify
Las reglas para los comandos MAV system-default, el security multi-admin-verify
"comandos", no se puede modificar.
Además de los comandos definidos por el sistema, los siguientes comandos están protegidos de forma predeterminada cuando se habilita la verificación multi-administrador, pero se pueden modificar las reglas para quitar la protección de estos comandos.
-
security login password
-
security login unlock
-
set
Restricciones de regla
Al crear una regla, puede especificar opcionalmente la -query
opción para limitar la solicitud a un subconjunto de la funcionalidad del comando. La -query
La opción también se puede usar para limitar elementos de configuración, como los nombres de la SVM, del volumen y de las snapshots.
Por ejemplo, en la volume snapshot delete
comando, -query
se puede establecer en -snapshot !hourly*,!daily*,!weekly*
, Lo que significa que las instantáneas de volumen con el prefijo de atributos por hora, diario o semanal se excluyen de las protecciones MAV.
smci-vsim20::> security multi-admin-verify rule show Required Approval Vserver Operation Approvers Groups ------- -------------------------------------- --------- ------------- vs01 volume snapshot delete - - Query: -snapshot !hourly*,!daily*,!weekly*
MAV no protegería ningún elemento de configuración excluido y cualquier administrador podría suprimirlos o cambiarles el nombre. |
De forma predeterminada, las reglas especifican que corresponde security multi-admin-verify request create “protected_operation”
el comando se genera automáticamente cuando se introduce una operación protegida. Puede modificar este valor predeterminado para requerir que el request create
el comando se introduce por separado.
De forma predeterminada, las reglas heredan la siguiente configuración global de MAV, aunque se pueden especificar excepciones específicas de reglas:
-
Número de aprobadores requerido
-
Grupos de aprobación
-
Período de caducidad de la aprobación
-
Periodo de caducidad de ejecución
Procedimiento de System Manager
Si desea añadir una regla de operación protegida por primera vez, consulte el procedimiento de System Manager a. "habilite la verificación multi-admin."
Para modificar el conjunto de reglas existente:
-
Seleccione Cluster > Settings.
-
Seleccione Junto a aprobación Multi-Admin en la sección Seguridad.
-
Seleccione para agregar al menos una regla, también puede modificar o eliminar reglas existentes.
-
Operación: Seleccione un comando admitido de la lista.
-
Query: Introduzca los valores y las opciones de comandos que desee.
-
Parámetros opcionales: Dejar en blanco para aplicar la configuración global o asignar un valor diferente para reglas específicas para anular la configuración global.
-
Número requerido de aprobadores
-
Grupos de aprobación
-
-
Procedimiento de la CLI
Todo security multi-admin-verify rule Los comandos requieren la aprobación del administrador de MAV antes de la ejecución excepto security multi-admin-verify rule show .
|
Si desea… | Introduzca este comando |
---|---|
Cree una regla |
|
Modifique las credenciales de los administradores actuales |
Ejemplo: La siguiente regla requiere aprobación para eliminar el volumen raíz.
|
Modificar una regla |
|
Eliminar una regla |
|
Muestra las reglas |
|
Para obtener detalles de sintaxis de comandos, consulte security multi-admin-verify rule
páginas de manual.