La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurer les rôles et privilèges des utilisateurs ONTAP

09/29/2025 Contributeurs

Configurez les rôles et privilèges utilisateur pour les backends de stockage avec le fichier JSON des ONTAP tools for VMware vSphere et ONTAP System Manager.

Avant de commencer

Téléchargez le fichier ONTAP Privileges à partir des ONTAP tools for VMware vSphere à l'aide de https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip. Après avoir téléchargé le fichier zip, vous trouverez deux fichiers JSON. Utilisez le fichier JSON spécifique à ASA r2 lors de la configuration d'un système ASA r2.

Vous pouvez créer des utilisateurs au niveau du cluster ou directement au niveau des machines virtuelles de stockage (SVM). Si vous n'utilisez pas le fichier user_roles.json, assurez-vous que l'utilisateur dispose des autorisations SVM minimales requises.

Connectez-vous avec les privilèges d'administrateur pour le backend de stockage.

Étapes

Extrayez le fichier https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip que vous avez téléchargé.
Accédez à ONTAP System Manager à l'aide de l'adresse IP de gestion du cluster.
Connectez-vous au cluster avec des privilèges d’administrateur. Pour configurer un utilisateur :
1. Pour configurer un utilisateur des outils Cluster ONTAP , sélectionnez le volet Cluster > Paramètres > Utilisateurs et rôles.
2. Pour configurer un utilisateur des outils SVM ONTAP , sélectionnez le volet Stockage SVM > Paramètres > Utilisateurs et rôles.
3. Sélectionnez Ajouter sous utilisateurs.
4. Dans la boîte de dialogue Ajouter un utilisateur, sélectionnez produits de virtualisation.
5. Parcourir pour sélectionner et télécharger le fichier JSON des Privileges ONTAP . Pour les systèmes non ASA r2, sélectionnez le fichier users_roles.json et pour les systèmes ASA r2, sélectionnez le fichier users_roles_ASAr2.json.
  
  Les outils ONTAP remplissent automatiquement le champ Produit.
6. Sélectionnez la capacité du produit comme VSC, VASA Provider et SRA dans la liste déroulante.
  
  Les outils ONTAP remplissent automatiquement le champ Rôle en fonction de la fonctionnalité du produit que vous sélectionnez.
7. Saisissez le nom d'utilisateur et le mot de passe requis.
8. Sélectionnez les privilèges (Découverte, Créer un stockage, Modifier un stockage, Détruire un stockage, Rôle NAS/SAN) dont l'utilisateur a besoin, puis sélectionnez Ajouter.

Les outils ONTAP ajoutent le nouveau rôle et le nouveau utilisateur. Vous pouvez afficher les privilèges sous le rôle que vous avez configuré.

Exigences de mappage des agrégats du SVM

Lors du provisionnement de banques de données à l’aide des informations d’identification de l’utilisateur SVM, les ONTAP tools for VMware vSphere créent des volumes sur l’agrégat spécifié dans l’API POST des banques de données. ONTAP empêche les utilisateurs SVM de créer des volumes sur des agrégats non mappés au SVM. Mappez le SVM aux agrégats requis à l’aide de l’API REST ONTAP ou de la CLI avant de créer des volumes.

API REST :

PATCH "/api/svm/svms/f16f0935-5281-11e8-b94d-005056b46485" '{"aggregates":{"name":["aggr1","aggr2","aggr3"]}}'

Interface de ligne de commande ONTAP :

sti115_vsim_ucs630f_aggr1 vserver show-aggregates                                        AvailableVserver        Aggregate      State         Size Type    SnapLock Type-------------- -------------- ------- ---------- ------- --------------svm_test       sti115_vsim_ucs630f_aggr1                               online     10.11GB vmdisk  non-snaplock

Créez manuellement un utilisateur et un rôle ONTAP

Créez des utilisateurs et des rôles manuellement sans le fichier JSON.

Accédez à ONTAP System Manager à l'aide de l'adresse IP de gestion du cluster.
Connectez-vous au cluster avec admin Privileges.
1. Pour configurer les rôles des outils Cluster ONTAP , sélectionnez Cluster > Paramètres > Utilisateurs et rôles.
2. Pour configurer les rôles des outils SVM ONTAP du cluster, sélectionnez Stockage SVM > Paramètres > Utilisateurs et rôles.
Créer des rôles :
1. Sélectionnez Ajouter dans la table rôles.
2. Entrez les détails nom de rôle et attributs de rôle.
  
  Ajoutez le chemin d'accès à l'API REST et choisissez l'accès dans la liste déroulante.
3. Ajoutez toutes les API nécessaires et enregistrez les modifications.
Créer des utilisateurs :
1. Sélectionnez Ajouter dans la table utilisateurs.
2. Dans la boîte de dialogue Ajouter un utilisateur, sélectionnez System Manager.
3. Entrez le Nom d'utilisateur.
4. Sélectionnez role parmi les options créées à l'étape Create Roles ci-dessus.
5. Entrez les applications à laquelle vous souhaitez accorder l'accès et la méthode d'authentification. ONTAPI et HTTP sont les applications requises et le type d'authentification est Password.
6. Définissez le Mot de passe pour l'utilisateur et le Enregistrer pour l'utilisateur.

Liste des privilèges minimaux requis pour les utilisateurs du cluster dont le périmètre global n'est pas défini sur admin

Cette section répertorie les privilèges minimaux requis pour un utilisateur de cluster à portée globale non administrateur sans fichier JSON. Si un cluster est dans la portée locale, utilisez le fichier JSON pour créer des utilisateurs, car les ONTAP tools for VMware vSphere nécessitent plus que de simples privilèges de lecture pour le provisionnement sur ONTAP.

Vous pouvez accéder aux fonctionnalités en utilisant les API :

API

Niveau d'accès

Utilisé pour

/api/cluster

Lecture seule

Découverte de la configuration du cluster

/api/cluster/licences/licences

Lecture seule

Vérification des licences pour les licences spécifiques au protocole

/api/cluster/nœuds

Lecture seule

Découverte du type de plate-forme

/api/sécurité/comptes

Lecture seule

Découverte de privilèges

/api/sécurité/rôles

Lecture seule

Découverte de privilèges

/api/stockage/agrégats

Lecture seule

Vérification de l'espace agrégé lors de l'approvisionnement du magasin de données/volume

/api/stockage/cluster

Lecture seule

Pour obtenir les données d'espace et d'efficacité au niveau du cluster

/api/stockage/disques

Lecture seule

Pour obtenir les disques associés dans un agrégat

/api/stockage/qos/politiques

Lire/Créer/Modifier

Gestion des politiques QoS et VM

/api/svm/svm

Lecture seule

Pour obtenir la configuration SVM lorsque le cluster est ajouté localement.

/api/network/ip/interfaces

Lecture seule

Ajouter un backend de stockage - Pour identifier la portée du LIF de gestion en cluster/SVM

/api/stockage/zones de disponibilité

Lecture seule

Découverte de la SAZ. Applicable aux versions ONTAP 9.16.1 et ultérieures et aux systèmes ASA r2.

/api/cluster/metrocluster

Lecture seule

Obtient l'état et les détails de configuration de MetroCluster .

Créez les outils ONTAP pour l'utilisateur avec périmètre de cluster basé sur l'API VMware vSphere ONTAP

Les privilèges de découverte, de création, de modification et de destruction sont requis pour les opérations PATCH et la restauration automatique sur les banques de données. Les autorisations manquantes peuvent entraîner des problèmes de flux de travail et de nettoyage.

Un utilisateur basé sur l'API ONTAP avec des privilèges de découverte, de création, de modification et de destruction peut gérer les flux de travail des outils ONTAP .

Pour créer un utilisateur avec toutes les Privileges mentionnées ci-dessus, exécuter les commandes suivantes :

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all

security login rest-role create -role <role-name> -api /api/storage/volumes -access all

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all

security login rest-role create -role <role-name> -api /api/storage/luns -access all

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all

security login rest-role create -role <role-name> -api /api/storage/qos/policies -access all

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify

security login rest-role create -role <role-name> -api /api/cluster -access readonly

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly

security login rest-role create -role <role-name> -api /api/cluster/licensing/licenses -access readonly

security login rest-role create -role <role-name> -api /api/cluster/nodes -access readonly

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly

security login rest-role create -role <role-name> -api /api/security/roles -access readonly

security login rest-role create -role <role-name> -api /api/storage/aggregates -access readonly

security login rest-role create -role <role-name> -api /api/storage/cluster -access readonly

security login rest-role create -role <role-name> -api /api/storage/disks -access readonly

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly

security login rest-role create -role <role-name> -api /api/cluster/metrocluster -access readonly

En outre, pour ONTAP versions 9.16.0 et supérieures, exécutez la commande suivante :

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all

Pour les systèmes ASA r2 sous ONTAP versions 9.16.1 et supérieures, exécutez la commande suivante :

security login rest-role create -role <role-name> -api /api/storage/availability-zones -access readonly

Créez les outils ONTAP pour l'utilisateur avec périmètre du SVM basé sur l'API VMware vSphere ONTAP

Exécutez les commandes suivantes pour créer un utilisateur de portée SVM avec tous les privilèges :

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/volumes -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/luns -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/roles -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly -vserver <vserver-name>

En outre, pour ONTAP versions 9.16.0 et supérieures, exécutez la commande suivante :

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all -vserver <vserver-name>

Pour créer un utilisateur basé sur une API à l'aide des rôles basés sur une API créés ci-dessus, exécutez la commande suivante :

security login create -user-or-group-name <user-name> -application http -authentication-method password -role <role-name> -vserver <cluster-or-vserver-name>

Exemple :

security login create -user-or-group-name testvpsraall -application http -authentication-method password -role OTV_10_VP_SRA_Discovery_Create_Modify_Destroy -vserver C1_sti160-cluster_

Exécutez la commande suivante pour déverrouiller le compte et activer l’accès à l’interface de gestion :

security login unlock -user <user-name> -vserver <cluster-or-vserver-name>

Exemple :

security login unlock -username testvpsraall -vserver C1_sti160-cluster

Mise à niveau des outils ONTAP pour VMware vSphere 10.1 utilisateur vers 10.3 utilisateurs

Pour les outils ONTAP pour les utilisateurs de VMware vSphere 10.1 avec un utilisateur dont la portée est définie par le cluster et créé à l'aide du fichier JSON, utilisez les commandes CLI ONTAP suivantes avec Privileges d'administration utilisateur pour effectuer la mise à niveau vers la version 10.3.

Pour les fonctionnalités du produit :

VSC
Fournisseur VSC et VASA
VSC et SRA
Fournisseur VSC, VASA et SRA.

Cluster Privileges :

security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace show" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem show" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host show" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map show" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme show-interface" -access read

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host add" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map add" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace delete" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem delete" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host remove" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map remove" -access all

Pour les outils ONTAP pour un utilisateur VMware vSphere 10.1 avec un utilisateur dont le périmètre SVM a été créé à l'aide du fichier json, utiliser les commandes de l'interface de ligne de commande ONTAP avec l'utilisateur admin Privileges pour effectuer la mise à niveau vers la version 10.3.

SVM Privileges :

security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace show" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem show" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host show" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map show" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme show-interface" -access read -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host add" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map add" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace delete" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem delete" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host remove" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map remove" -access all -vserver <vserver-name>

Pour activer les commandes suivantes, ajoutez les commandes vserver nvme namespace show et vserver nvme subsystem show au rôle existant.

vserver nvme namespace create

vserver nvme namespace modify

vserver nvme subsystem create

vserver nvme subsystem modify

Mise à niveau des outils ONTAP pour VMware vSphere 10.3 utilisateur vers 10.4 utilisateurs

À partir d' ONTAP 9.16.1, mettez à niveau les ONTAP tools for VMware vSphere 10.3 vers l'utilisateur 10.4.

Pour les outils ONTAP pour un utilisateur VMware vSphere 10.3 avec un utilisateur dont le périmètre de cluster a été créé à l'aide du fichier JSON et de ONTAP version 9.16.1 ou ultérieure, utilisez la commande de ligne de commande ONTAP avec l'utilisateur admin Privileges pour effectuer la mise à niveau vers la version 10.4.

Pour les fonctionnalités du produit :

VSC
Fournisseur VSC et VASA
VSC et SRA
Fournisseur VSC, VASA et SRA.

Cluster Privileges :

security login role create -role <existing-role-name> -cmddirname "storage availability-zone show" -access all

Configurer les rôles et privilèges des utilisateurs ONTAP

Creating your file...

Exigences de mappage des agrégats du SVM

Créez manuellement un utilisateur et un rôle ONTAP

Liste des privilèges minimaux requis pour les utilisateurs du cluster dont le périmètre global n'est pas défini sur admin

Créez les outils ONTAP pour l'utilisateur avec périmètre de cluster basé sur l'API VMware vSphere ONTAP

Créez les outils ONTAP pour l'utilisateur avec périmètre du SVM basé sur l'API VMware vSphere ONTAP

Mise à niveau des outils ONTAP pour VMware vSphere 10.1 utilisateur vers 10.3 utilisateurs

Mise à niveau des outils ONTAP pour VMware vSphere 10.3 utilisateur vers 10.4 utilisateurs