Control de acceso basado en roles en SnapCenter
El control de acceso basado en roles (RBAC) de SnapCenter y los permisos de ONTAP permiten a los administradores de SnapCenter asignar acceso a recursos a usuarios o grupos. Este acceso administrado centralmente permite a los administradores de aplicaciones trabajar de forma segura dentro de entornos designados.
Debe crear o modificar roles y agregar acceso a recursos a los usuarios. Al configurar SnapCenter por primera vez, agregue usuarios o grupos de Active Directory a los roles y asigne recursos a esos usuarios o grupos.
|
SnapCenter no crea cuentas de usuarios o grupos. Crear cuentas de usuario o grupo en el Directorio Activo del sistema operativo o de la base de datos. |
Tipos de RBAC en SnapCenter
SnapCenter admite los siguientes tipos de control de acceso basado en roles:
-
RBAC de SnapCenter
-
RBAC en el nivel de aplicaciones
-
Control de acceso basado en roles del plugin de SnapCenter para VMware vSphere
-
Permisos de ONTAP
RBAC de SnapCenter
SnapCenter tiene roles predefinidos y usted puede asignar usuarios o grupos a estos roles.
-
SnapCenter Admin
-
App Backup and Clone Admin
-
Backup and Clone Viewer
-
Infrastructure Admin
Cuando se asigna un rol a un usuario, SnapCenter muestra los trabajos que son relevantes para ese usuario en la página Trabajos, a menos que el usuario tenga el rol SnapCenterAdmin.
También es posible crear nuevos roles y gestionar los permisos y los usuarios. Es posible asignar permisos a usuarios o grupos para que tengan acceso a objetos de SnapCenter, como hosts, conexiones de almacenamiento y grupos de recursos.
Se pueden asignar permisos de RBAC a usuarios y grupos dentro del mismo bosque y a usuarios de distintos bosques. No es posible asignar permisos de RBAC a usuarios que pertenecen a grupos anidados en diferentes bosques.
|
Al crear un rol personalizado, asegúrese de que incluya todos los permisos del rol SnapCenterAdmin. Si copia solo algunos permisos, SnapCenter le impedirá realizar todas las operaciones. |
Los usuarios deben autenticarse al iniciar sesión a través de la interfaz de usuario o los cmdlets de PowerShell. Si los usuarios tienen varios roles, seleccionan un rol después de iniciar sesión. También se requiere autenticación para ejecutar API.
RBAC en el nivel de aplicaciones
SnapCenter usa credenciales para verificar que los usuarios de SnapCenter autorizados también tengan permisos en el nivel de aplicaciones.
Por ejemplo, para realizar operaciones de protección de datos en un entorno de SQL Server, configure las credenciales de Windows o SQL correctas. Si desea realizar operaciones de protección de datos en un entorno de sistema de archivos de Windows en el almacenamiento ONTAP , el rol de administrador de SnapCenter debe tener privilegios de administrador en el host de Windows.
De manera similar, si desea realizar operaciones de protección de datos en una base de datos Oracle y si la autenticación del sistema operativo (SO) está deshabilitada en el host de la base de datos, debe configurar las credenciales con la base de datos Oracle o las credenciales de Oracle ASM. El servidor SnapCenter autentica las credenciales establecidas utilizando uno de estos métodos según la operación.
Control de acceso basado en roles del plugin de SnapCenter para VMware vSphere
Cuando se utiliza el plugin de SnapCenter VMware para protección de datos coherente con máquinas virtuales, vCenter Server ofrece un nivel adicional de control de acceso basado en roles. El plugin de VMware de SnapCenter es compatible con el control de acceso basado en roles de vCenter Server y de ONTAP. "Más información"
NOTA: NetApp recomienda crear una función de ONTAP para las operaciones del SnapCenter Plug-in for VMware vSphere y asignarle todos los privilegios necesarios.
Permisos de ONTAP
Debe crear una cuenta vsadmin con los permisos necesarios para acceder al sistema de almacenamiento."Más información"
Permisos asignados a los roles predefinidos de SnapCenter
Cuando agrega un usuario a un rol, asigne el permiso StorageConnection para habilitar la comunicación de la máquina virtual de almacenamiento (SVM) o asigne una SVM al usuario para otorgarle permiso para usar la SVM. El permiso de Conexión de almacenamiento permite a los usuarios crear conexiones SVM.
Por ejemplo, un administrador de SnapCenter puede crear conexiones SVM y asignarlas a usuarios administradores de App Backup y Clone, quienes no pueden crear ni editar conexiones SVM. Sin una conexión SVM, los usuarios no pueden realizar operaciones de copia de seguridad, clonación o restauración.
SnapCenter Admin
El rol SnapCenter Admin tiene todos los permisos habilitados. No es posible modificar los permisos de este rol. Se pueden agregar usuarios y grupos al rol o quitarlos.
App Backup and Clone Admin
El rol App Backup and Clone Admin tiene los permisos necesarios para ejecutar acciones administrativas para tareas vinculadas con el backup y la clonado de aplicaciones. Este rol no tiene permisos para gestión de hosts, aprovisionamiento, gestión de conexiones de almacenamiento o instalación remota.
Permisos | Activado | Cree | Lea | Actualizar | Eliminar |
---|---|---|---|---|---|
Grupo de recursos |
No aplicable |
Sí |
Sí |
Sí |
Sí |
Política |
No aplicable |
Sí |
Sí |
Sí |
Sí |
Backup |
No aplicable |
Sí |
Sí |
Sí |
Sí |
Host |
No aplicable |
Sí |
Sí |
Sí |
Sí |
Conexión de almacenamiento |
No aplicable |
No |
Sí |
No |
No |
Clonar |
No aplicable |
Sí |
Sí |
Sí |
Sí |
Provisionamiento |
No aplicable |
No |
Sí |
No |
No |
Consola |
Sí |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
Leídos |
Sí |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
Restaurar |
Sí |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
Recurso |
Sí |
Sí |
Sí |
Sí |
Sí |
Instalar/desinstalar plugins |
No |
No aplicable |
No aplicable |
No aplicable |
|
Migración |
No |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
Montaje |
Sí |
Sí |
No aplicable |
No aplicable |
No aplicable |
Desmontar |
Sí |
Sí |
No aplicable |
No aplicable |
No aplicable |
Restaurar volumen completo |
No |
No |
No aplicable |
No aplicable |
No aplicable |
Protección secundaria |
No |
No |
No aplicable |
No aplicable |
No aplicable |
Monitor de trabajos |
Sí |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
Backup and Clone Viewer
La función Visor de copias de seguridad y clones tiene una vista de solo lectura de todos los permisos. Esta función también tiene permisos habilitados para descubrimiento, informes y acceso al Panel de Control.
Permisos | Activado | Cree | Lea | Actualizar | Eliminar |
---|---|---|---|---|---|
Grupo de recursos |
No aplicable |
No |
Sí |
No |
No |
Política |
No aplicable |
No |
Sí |
No |
No |
Backup |
No aplicable |
No |
Sí |
No |
No |
Host |
No aplicable |
No |
Sí |
No |
No |
Conexión de almacenamiento |
No aplicable |
No |
Sí |
No |
No |
Clonar |
No aplicable |
No |
Sí |
No |
No |
Provisionamiento |
No aplicable |
No |
Sí |
No |
No |
Consola |
Sí |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
Leídos |
Sí |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
Restaurar |
No |
No |
No aplicable |
No aplicable |
No aplicable |
Recurso |
No |
No |
Sí |
Sí |
No |
Instalar/desinstalar plugins |
No |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
Migración |
No |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
Montaje |
Sí |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
Desmontar |
Sí |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
Restaurar volumen completo |
No |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
Protección secundaria |
No |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
Monitor de trabajos |
Sí |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
Infrastructure Admin
El rol Infrastructure Admin tiene permisos habilitados para gestión de hosts, administración del almacenamiento, aprovisionamiento, grupos de recursos, informes de instalación remota, Y acceso a la consola.
Permisos | Activado | Cree | Lea | Actualizar | Eliminar |
---|---|---|---|---|---|
Grupo de recursos |
No aplicable |
Sí |
Sí |
Sí |
Sí |
Política |
No aplicable |
No |
Sí |
Sí |
Sí |
Backup |
No aplicable |
Sí |
Sí |
Sí |
Sí |
Host |
No aplicable |
Sí |
Sí |
Sí |
Sí |
Conexión de almacenamiento |
No aplicable |
Sí |
Sí |
Sí |
Sí |
Clonar |
No aplicable |
No |
Sí |
No |
No |
Provisionamiento |
No aplicable |
Sí |
Sí |
Sí |
Sí |
Consola |
Sí |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
Leídos |
Sí |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
Restaurar |
Sí |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
Recurso |
Sí |
Sí |
Sí |
Sí |
Sí |
Instalar/desinstalar plugins |
Sí |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
Migración |
No |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
Montaje |
No |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
Desmontar |
No |
No aplicable |
No aplicable |
No aplicable |
No aplicable |
Restaurar volumen completo |
No |
No |
No aplicable |
No aplicable |
No aplicable |
Protección secundaria |
No |
No |
No aplicable |
No aplicable |
No aplicable |
Monitor de trabajos |
Sí |
No aplicable |
No aplicable |
No aplicable |
No aplicable |