Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurer l'élévation des privilèges JIT dans ONTAP

Contributeurs netapp-bhouser netapp-aaron-holt
PDF

Depuis ONTAP 9.17.1, les administrateurs de cluster peuvent configurer l'élévation des privilèges juste-à-temps (JIT) pour permettre aux utilisateurs ONTAP d'élever temporairement leurs privilèges afin d'effectuer certaines tâches. Lorsque JIT est configuré pour un utilisateur, celui-ci peut temporairement "élever leurs privilèges" à un rôle disposant des autorisations nécessaires pour effectuer une tâche. Une fois la session terminée, l'utilisateur retrouve son niveau d'accès initial.

Les administrateurs de cluster peuvent configurer la durée d'accès d'un utilisateur à l'élévation JIT. Par exemple, vous pouvez configurer l'accès utilisateur à l'élévation JIT avec une limite de 30 minutes par session (période de validité de session) pendant une période de 30 jours (période de validité JIT). Pendant cette période, l'utilisateur peut élever ses privilèges autant de fois que nécessaire, mais chaque session est limitée à 30 minutes.

L'élévation des privilèges JIT respecte le principe du moindre privilège, permettant aux utilisateurs d'effectuer des tâches nécessitant des privilèges élevés sans que ces privilèges leur soient accordés de manière permanente. Cela réduit le risque d'accès non autorisé ou de modifications accidentelles du système. Les exemples suivants décrivent quelques cas d'utilisation courants de l'élévation des privilèges JIT :

  • Autoriser l'accès temporaire au security login create et security login delete commandes permettant l'intégration et la désintégration des utilisateurs.

  • Autoriser l'accès temporaire à system node image update et system node upgrade-revert pendant une fenêtre de mise à jour. Une fois la mise à jour terminée, l'accès aux commandes est révoqué.

  • Autoriser l'accès temporaire à cluster add-node , cluster remove-node , et cluster modify pour permettre l'extension ou la reconfiguration du cluster. Une fois les modifications du cluster terminées, l'accès aux commandes est révoqué.

  • Autoriser l'accès temporaire à volume snapshot restore pour activer les opérations de restauration et la gestion des cibles de sauvegarde. Une fois la restauration ou la configuration terminée, l'accès aux commandes est révoqué.

  • Autoriser l'accès temporaire à security audit log show pour permettre la révision et l'exportation du journal d'audit lors d'un contrôle de conformité.

Pour une liste plus complète des cas d'utilisation JIT courants, consultez la section « Utilisation JIT ». Cas d'utilisation JIT courants .

Les administrateurs de cluster peuvent configurer l'accès JIT pour les utilisateurs ONTAP et configurer les périodes de validité JIT par défaut soit globalement sur l'ensemble du cluster, soit pour des SVM spécifiques.

Description de la tâche

  • L'élévation des privilèges JIT est réservée aux utilisateurs accédant à ONTAP via SSH. Les privilèges élevés ne sont disponibles que dans la session SSH actuelle de l'utilisateur, mais ils peuvent être élevés dans autant de sessions SSH simultanées que nécessaire.

  • L'élévation des privilèges JIT n'est prise en charge que pour les utilisateurs utilisant un mot de passe, un commutateur NSSwitch ou une authentification de domaine pour se connecter. L'authentification multifacteur (MFA) n'est pas prise en charge pour l'élévation des privilèges JIT.

Avant de commencer

  • Vous devez être un administrateur de cluster ONTAP au admin niveau de privilège pour effectuer les tâches suivantes.

Modifier les paramètres JIT globaux

Vous pouvez modifier les paramètres JIT par défaut pour l'ensemble du cluster ONTAP ou pour une SVM spécifique. Ces paramètres déterminent la durée de validité de session par défaut et la durée de validité JIT maximale pour les utilisateurs configurés pour un accès JIT.

Description de la tâche

  • La valeur par défaut default-session-validity-period La valeur est d'une heure. Ce paramètre détermine la durée pendant laquelle un utilisateur peut accéder à des privilèges élevés dans une session JIT avant de devoir les réélever.

  • La valeur par défaut max-jit-validity-period La valeur est de 90 jours. Ce paramètre détermine la période maximale pendant laquelle un utilisateur peut accéder à l'élévation JIT après la date de début configurée. Vous pouvez configurer la période de validité JIT pour chaque utilisateur, mais elle ne peut pas dépasser la période de validité JIT maximale.

Étapes

  1. Vérifiez les paramètres JIT actuels :

    security jit-privilege show -vserver <svm_name>

    -vserver est facultatif. Si vous ne spécifiez pas de SVM, la commande affiche les paramètres JIT globaux.

  2. Modifier les paramètres JIT globalement ou pour un SVM :

    security jit-privilege modify -vserver <svm_name> -default-session-validity-period <period> -max-jit-validity-period <period>

    Si vous ne spécifiez pas de SVM, la commande modifie les paramètres JIT globaux. L'exemple suivant définit la durée de session JIT par défaut à 45 minutes et la durée JIT maximale à 30 jours pour SVM. svm1 :
    security jit-privilege modify -vserver svm1 -default-session-validity-period 45m -max-jit-validity-period 30d

    Dans cet exemple, les utilisateurs pourront accéder à l'élévation JIT pendant 45 minutes à la fois et pourront lancer des sessions JIT pendant un maximum de 30 jours après leur date de début configurée.

Configurer l'accès par élévation de privilèges JIT pour un utilisateur

Vous pouvez attribuer un accès d’élévation de privilèges JIT aux utilisateurs ONTAP .

Étapes

  1. Vérifiez l'accès JIT actuel pour un utilisateur :

    security jit-privilege user show -username <username>

    -username est facultatif. Si vous ne spécifiez pas de nom d'utilisateur, la commande affiche l'accès JIT pour tous les utilisateurs.

  2. Attribuer un nouvel accès JIT à un utilisateur :

    security jit-privilege create -username <username> -vserver <svm_name> -role <rbac_role> -session-validity-period <period> -jit-validity-period <period> -start-time <date>

    • Si -vserver n'est pas spécifié, l'accès JIT est attribué au niveau du cluster.

    • -role est le rôle RBAC auquel l'utilisateur sera élevé. S'il n'est pas spécifié, -role par défaut admin .

    • -session-validity-period Indique la durée pendant laquelle l'utilisateur peut accéder au rôle élevé avant de devoir démarrer une nouvelle session JIT. Si elle n'est pas spécifiée, le rôle global ou SVM default-session-validity-period est utilisé.

    • -jit-validity-period est la durée maximale pendant laquelle un utilisateur peut lancer des sessions JIT après la date de début configurée. Si elle n'est pas spécifiée, session-validity-period est utilisé. Ce paramètre ne peut pas dépasser la valeur globale ou SVM max-jit-validity-period .

    • -start-time correspond à la date et à l'heure après lesquelles l'utilisateur peut lancer des sessions JIT. Si elles ne sont pas spécifiées, la date et l'heure actuelles sont utilisées.

      L'exemple suivant permettra ontap_user pour accéder au admin rôle pendant 1 heure avant de devoir démarrer une nouvelle session JIT. ontap_user pourra lancer des sessions JIT pour une période de 60 jours à compter de 13h le 1er juillet 2025 :
      security jit-privilege user create -username ontap_user -role admin -session-validity-period 1h -jit-validity-period 60d -start-time "7/1/25 13:00:00"

  3. Si nécessaire, révoquez l'accès JIT d'un utilisateur :

    security jit-privilege user delete -username <username> -vserver <svm_name>

    Cette commande révoquera l'accès JIT d'un utilisateur, même si son accès n'a pas expiré. Si -vserver Si l'accès JIT n'est pas spécifié, l'accès JIT est révoqué au niveau du cluster. Si l'utilisateur est dans une session JIT active, la session sera interrompue.

Cas d'utilisation JIT courants

Le tableau suivant présente les cas d'utilisation courants pour l'élévation des privilèges JIT. Pour chaque cas d'utilisation, un rôle RBAC doit être configuré pour donner accès aux commandes concernées. Chaque commande renvoie vers la référence des commandes ONTAP , contenant plus d'informations sur la commande et ses paramètres.

Cas d'utilisation Commandes Détails

Gestion des utilisateurs et des rôles

  • security login create

  • security login delete

Élevez temporairement pour ajouter/supprimer des utilisateurs ou modifier les rôles lors de l'intégration ou de la sortie.

Gestion des certificats

  • security certificate create

  • security certificate install

Accorder un accès à court terme pour l’installation ou le renouvellement du certificat.

Contrôle d'accès SSH/CLI

  • security login create -application ssh

Accordez temporairement l'accès SSH pour le dépannage ou l'assistance du fournisseur.

Gestion des licences

  • system license add

  • system license delete

Accordez des droits pour ajouter ou supprimer des licences lors de l'activation ou de la désactivation des fonctionnalités.

Mises à niveau et correctifs du système

  • system node image update

  • system node upgrade-revert

Élevez pour la fenêtre de mise à niveau, puis révoquez.

Paramètres de sécurité du réseau

  • security login role create

  • security login role modify

Autoriser les modifications temporaires des rôles de sécurité liés au réseau.

Gestion des clusters

  • cluster add-node

  • cluster remove-node

  • cluster modify

Élévation pour l'extension ou la reconfiguration du cluster.

Gestion SVM

  • vserver create

  • vserver delete

  • vserver modify

Accordez temporairement à un administrateur SVM des droits d’approvisionnement ou de mise hors service.

Gestion du volume

  • volume create

  • volume delete

  • volume modify

Élever pour l'approvisionnement, le redimensionnement ou la suppression de volumes.

Gestion des instantanés

  • volume snapshot create

  • volume snapshot delete

  • volume snapshot restore

Élever pour la suppression ou la restauration d'instantanés pendant la récupération.

Configuration du réseau

  • network interface create

  • network port vlan create

Accorder des droits pour les modifications du réseau pendant les fenêtres de maintenance.

Gestion des disques/agrégats

  • storage disk assign

  • storage aggregate create

  • storage aggregate add-disks

Élévation pour ajouter ou supprimer des disques ou gérer des agrégats.

Protection des données

  • snapmirror create

  • snapmirror modify

  • snapmirror restore

Élever temporairement pour configurer ou restaurer les relations SnapMirror .

Réglage des performances

  • qos policy-group create

  • qos policy-group modify

Élevez pour le dépannage ou le réglage des performances.

Accès au journal d'audit

  • security audit log show

Élever temporairement pour la révision du journal d'audit ou l'exportation pendant les contrôles de conformité.

Gestion des événements et des alertes

  • event notification create

  • event notification modify

Élévation pour configurer ou tester les notifications d'événements ou les interruptions SNMP.

Accès aux données axé sur la conformité

  • volume show

  • security audit log show

Accordez un accès temporaire en lecture seule aux auditeurs pour examiner les données ou les journaux sensibles.

Avis sur les accès privilégiés

  • security login show

  • security login role show

Accordez temporairement un accès privilégié pour examiner et signaler les accès privilégiés. Accordez un accès privilégié en lecture seule pour une durée limitée.
Informations associées