Skip to main content
ONTAP tools for VMware vSphere 9.12
Une version plus récente de ce produit est disponible.
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Autorisations pour les systèmes de stockage ONTAP et les objets vSphere

Contributeurs

Le contrôle d'accès basé sur des rôles (RBAC) de ONTAP vous permet de contrôler l'accès aux systèmes de stockage spécifiques et de contrôler les actions qu'un utilisateur peut effectuer sur ces systèmes. Dans les outils ONTAP® pour VMware vSphere, ONTAP RBAC fonctionne avec vCenter Server RBAC pour déterminer les tâches d'outils ONTAP qu'un utilisateur spécifique peut effectuer sur les objets d'un système de stockage spécifique.

Les outils ONTAP utilisent les informations d'identification (nom d'utilisateur et mot de passe) que vous configurez dans les outils ONTAP pour authentifier chaque système de stockage et déterminer les opérations de stockage qui peuvent être effectuées sur ce système de stockage. Les outils ONTAP utilisent un ensemble d'informations d'identification pour chaque système de stockage. Ces informations d'identification déterminent les tâches des outils ONTAP qui peuvent être effectuées sur ce système de stockage. En d'autres termes, elles sont destinées aux outils ONTAP et non à un utilisateur individuel des outils ONTAP.

Le contrôle d'accès basé sur des rôles ONTAP s'applique uniquement à l'accès aux systèmes de stockage et à l'exécution de tâches d'outils ONTAP en rapport avec le stockage, telles que le provisionnement de machines virtuelles. Si vous ne disposez pas des privilèges ONTAP RBAC appropriés pour un système de stockage spécifique, vous ne pouvez pas effectuer de tâches sur un objet vSphere hébergé sur ce système de stockage. Vous pouvez utiliser ONTAP RBAC en association avec les privilèges spécifiques aux outils ONTAP pour contrôler les tâches des outils ONTAP qu'un utilisateur peut effectuer :

  • Surveillance et configuration d'objets de stockage ou vCenter Server résidant sur un système de stockage

  • Provisionnement d'objets vSphere résidant sur un système de stockage

L'utilisation du contrôle d'accès basé sur des rôles ONTAP avec les privilèges spécifiques aux outils ONTAP offre une couche de sécurité orientée stockage que l'administrateur du stockage peut gérer. Par conséquent, le contrôle d'accès est plus granulaire que ce que vous ne pouvez prendre en charge que le RBAC ONTAP seul ou le RBAC vCenter Server. Par exemple, avec le RBAC de vCenter Server, vous pouvez permettre à vCenter UserB de provisionner un datastore sur le stockage NetApp tout en empêchant vCenter UserA de provisionner des datastores. Si les informations d'identification du système de stockage pour un système de stockage spécifique ne prennent pas en charge la création de stockage, ni vCenter UserB ni vCenter UserA ne peuvent provisionner un datastore sur ce système de stockage.

Lorsque vous lancez une tâche d'outils ONTAP, les outils ONTAP vérifient d'abord si vous disposez de l'autorisation de serveur vCenter appropriée pour cette tâche. Si l'autorisation du serveur vCenter n'est pas suffisante pour vous permettre d'effectuer la tâche, les outils ONTAP n'ont pas besoin de vérifier les privilèges ONTAP pour ce système de stockage car vous n'avez pas passé le contrôle de sécurité initial du serveur vCenter. Dans ce cas, vous ne pouvez pas accéder au système de stockage.

Si l'autorisation vCenter Server est suffisante, les outils ONTAP vérifient ensuite les privilèges RBAC ONTAP (votre rôle ONTAP) associés aux informations d'identification du système de stockage (le nom d'utilisateur et le mot de passe). Déterminer si vous disposez des privilèges suffisants pour effectuer les opérations de stockage requises par la tâche ONTAP Tools sur ce système de stockage. Si vous disposez des privilèges ONTAP appropriés, vous pouvez accéder au système de stockage et effectuer la tâche Outils ONTAP. Les rôles ONTAP déterminent les tâches d'outils ONTAP que vous pouvez effectuer sur le système de stockage.

Chaque système de stockage dispose d'un ensemble de privilèges ONTAP qui lui sont associés.

L'utilisation de RBAC ONTAP et du RBAC vCenter Server offre les avantages suivants :

  • Sécurité

    L'administrateur peut déterminer les utilisateurs qui peuvent effectuer les tâches au niveau objet précis de vCenter Server et au niveau du système de stockage.

  • Informations d'audit

    Dans de nombreux cas, les outils ONTAP fournissent une piste d'audit sur le système de stockage qui vous permet de suivre les événements vers l'utilisateur vCenter Server qui a effectué les modifications de stockage.

  • Facilité d'utilisation

    Vous pouvez conserver toutes les informations d'identification du contrôleur en un seul emplacement.

Rôles ONTAP recommandés pour l'utilisation des outils ONTAP pour VMware vSphere

Vous pouvez configurer plusieurs rôles ONTAP recommandés pour utiliser les outils ONTAP® pour VMware vSphere et le contrôle d'accès basé sur les rôles (RBAC). Ces rôles contiennent les privilèges ONTAP requis pour effectuer les opérations de stockage requises qui sont exécutées par les tâches des outils ONTAP.

Pour créer de nouveaux rôles utilisateur, vous devez vous connecter en tant qu'administrateur sur les systèmes de stockage exécutant ONTAP. Vous pouvez créer des rôles ONTAP à l'aide de ONTAP System Manager 9.8P1 ou version ultérieure. Voir "Configurez les rôles et privilèges utilisateur" pour en savoir plus.

Chaque rôle ONTAP est associé à un nom d'utilisateur et une paire de mots de passe qui constituent les identifiants du rôle. Si vous ne vous connectez pas à l'aide de ces informations d'identification, vous ne pouvez pas accéder aux opérations de stockage associées au rôle.

À titre de mesure de sécurité, les rôles ONTAP spécifiques aux outils ONTAP sont classés de manière hiérarchique. Cela signifie que le premier rôle est le rôle le plus restrictif et ne dispose que des privilèges associés à l'ensemble le plus basique d'opérations de stockage des outils ONTAP. Le rôle suivant inclut à la fois ses propres privilèges et tous les privilèges associés au rôle précédent. Chaque rôle supplémentaire est moins restrictif en termes de termes de limites au niveau des opérations de stockage prises en charge.

Voici quelques-uns des rôles ONTAP RBAC recommandés lors de l'utilisation d'outils ONTAP. Une fois ces rôles créés, vous pouvez attribuer les rôles aux utilisateurs qui doivent effectuer des tâches associées au stockage, par exemple le provisionnement de machines virtuelles.

  1. Détection

    Il permet donc d'ajouter des systèmes de stockage.

  2. Créer un stockage

    Grâce à ce rôle, vous pouvez créer du stockage. Ce rôle inclut également l'ensemble des privilèges associés au rôle découverte.

  3. Modifier le stockage

    Ce rôle vous permet de modifier le stockage. Ce rôle inclut également tous les privilèges associés au rôle découverte et au rôle Créer un stockage.

  4. Détruire le stockage

    Vous pouvez ainsi détruire le stockage. Ce rôle inclut également tous les privilèges associés au rôle découverte, au rôle Créer un stockage et au rôle Modifier le stockage.

Si vous utilisez VASA Provider pour ONTAP, vous devez également définir un rôle de gestion basée sur des règles (PBM). Il permet de gérer le stockage à l'aide de règles de stockage. Ce rôle requiert également que vous ayez défini le rôle « questions à poser ».