Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Gestione reglas de operaciones protegidas

Colaboradores
PDF

Se crean reglas de verificación de varios administradores (MAV) para designar operaciones que requieren aprobación. Siempre que se inicia una operación, las operaciones protegidas se interceptan y se genera una solicitud de aprobación.

Las reglas se pueden crear antes de habilitar MAV por cualquier administrador con las capacidades RBAC adecuadas, pero una vez que MAV está activado, cualquier modificación del conjunto de reglas requiere la aprobación de MAV.

Sólo se puede crear una regla MAV por operación; por ejemplo, no se pueden crear varias volume-snapshot-delete reglas. Cualquier restricción de regla deseada debe estar contenida dentro de una regla.

Comandos protegidos por reglas

Puede crear reglas para proteger los siguientes comandos que comienzan con ONTAP 9.11.1.

cluster peer delete

event config modify

security login create

security login delete

security login modify

system node run

system node systemshell

volume delete

volume flexcache delete

volume snapshot autodelete modify

volume snapshot delete

volume snapshot policy add-schedule

volume snapshot policy create

volume snapshot policy delete

volume snapshot policy modify

volume snapshot policy modify-schedule

volume snapshot policy remove-schedule

volume snapshot restore

vserver peer delete

Puede crear reglas para proteger los siguientes comandos que comienzan con ONTAP 9.13.1:

  • volume snaplock modify

  • security anti-ransomware volume attack clear-suspect

  • security anti-ransomware volume disable

  • security anti-ransomware volume pause

Puede crear reglas para proteger los siguientes comandos que comienzan con ONTAP 9.14.1:

  • volume recovery-queue modify

  • volume recovery-queue purge

  • volume recovery-queue purge-all

  • vserver modify

Las reglas para los comandos MAV system-default, el security multi-admin-verify "comandos", no se puede modificar.

Además de los comandos definidos por el sistema, los siguientes comandos están protegidos de forma predeterminada cuando se habilita la verificación multi-administrador, pero se pueden modificar las reglas para quitar la protección de estos comandos.

  • security login password

  • security login unlock

  • set

Restricciones de regla

Al crear una regla, puede especificar opcionalmente la -query opción para limitar la solicitud a un subconjunto de la funcionalidad del comando. La -query La opción también se puede usar para limitar elementos de configuración, como los nombres de la SVM, del volumen y de las snapshots.

Por ejemplo, en la volume snapshot delete comando, -query se puede establecer en -snapshot !hourly*,!daily*,!weekly*, Lo que significa que las instantáneas de volumen con el prefijo de atributos por hora, diario o semanal se excluyen de las protecciones MAV.

smci-vsim20::> security multi-admin-verify rule show
                                               Required  Approval
Vserver Operation                              Approvers Groups
------- -------------------------------------- --------- -------------
vs01    volume snapshot delete                 -         -
          Query: -snapshot !hourly*,!daily*,!weekly*
Nota MAV no protegería ningún elemento de configuración excluido y cualquier administrador podría suprimirlos o cambiarles el nombre.

De forma predeterminada, las reglas especifican que corresponde security multi-admin-verify request create “protected_operation” el comando se genera automáticamente cuando se introduce una operación protegida. Puede modificar este valor predeterminado para requerir que el request create el comando se introduce por separado.

De forma predeterminada, las reglas heredan la siguiente configuración global de MAV, aunque se pueden especificar excepciones específicas de reglas:

  • Número de aprobadores requerido

  • Grupos de aprobación

  • Período de caducidad de la aprobación

  • Periodo de caducidad de ejecución

Procedimiento de System Manager

Si desea añadir una regla de operación protegida por primera vez, consulte el procedimiento de System Manager a. "habilite la verificación multi-admin."

Para modificar el conjunto de reglas existente:

  1. Seleccione Cluster > Settings.

  2. Seleccione icono de marcha Junto a aprobación Multi-Admin en la sección Seguridad.

  3. Seleccione icono agregar para agregar al menos una regla, también puede modificar o eliminar reglas existentes.

    • Operación: Seleccione un comando admitido de la lista.

    • Query: Introduzca los valores y las opciones de comandos que desee.

    • Parámetros opcionales: Dejar en blanco para aplicar la configuración global o asignar un valor diferente para reglas específicas para anular la configuración global.

      • Número requerido de aprobadores

      • Grupos de aprobación

Procedimiento de la CLI

Nota Todo security multi-admin-verify rule Los comandos requieren la aprobación del administrador de MAV antes de la ejecución excepto security multi-admin-verify rule show.
Si desea… Introduzca este comando

Cree una regla

security multi-admin-verify rule create -operation “protected_operation” [-query operation_subset] [parameters]

Modifique las credenciales de los administradores actuales

security login modify <parameters>

Ejemplo: La siguiente regla requiere aprobación para eliminar el volumen raíz.

security multi-admin-verify rule create -operation "volume delete" -query "-vserver vs0"

Modificar una regla

security multi-admin-verify rule modify -operation “protected_operation” [parameters]

Eliminar una regla

security multi-admin-verify rule delete -operation “protected_operation”

Muestra las reglas

security multi-admin-verify rule show

Para obtener detalles de sintaxis de comandos, consulte security multi-admin-verify rule páginas de manual.