Contrôle d'accès basé sur des rôles avec l'analytique du système de fichiers ONTAP
Suggérer des modifications
PDF
À partir de ONTAP 9.12.1, ONTAP inclut un rôle prédéfini de contrôle d'accès basé sur des rôles (RBAC) appelé admin-no-fsa. Le admin-no-fsa rôle accorde une Privileges au niveau de l'administrateur, mais empêche l'utilisateur d'effectuer des opérations liées au files terminal (par exemple, l'analytique du système de fichiers) dans l'interface de ligne de commande ONTAP, l'API REST et dans System Manager.
Pour plus d'informations sur le admin-no-fsa rôle, voir Rôles prédéfinis pour les administrateurs du cluster.
Si vous utilisez une version de ONTAP antérieure à ONTAP 9.12.1, vous devrez créer un rôle dédié pour contrôler l'accès à l'analyse du système de fichiers. Dans les versions de ONTAP antérieures à ONTAP 9.12.1, vous devez configurer les autorisations RBAC via l'interface de ligne de commande d'ONTAP ou l'API REST d'ONTAP.
À partir de ONTAP 9.12.1, vous pouvez configurer des autorisations RBAC pour l'analytique du système de fichiers à l'aide du Gestionnaire système.
-
Sélectionnez Cluster > Paramètres. Sous sécurité, naviguez jusqu'à utilisateurs et rôles et sélectionnez
. -
Sous rôles, sélectionnez
. -
Indiquez un nom pour le rôle. Sous attributs de rôle, configurez l'accès ou les restrictions pour le rôle d'utilisateur en fournissant le approprié "Terminaux d'API". Consultez le tableau ci-dessous pour connaître les chemins principaux et secondaires permettant de configurer l'accès ou les restrictions de l'analyse du système de fichiers.
Restriction Chemin primaire Chemin secondaire Suivi d'activité sur les volumes
/api/storage/volumes-
/:uuid/top-metrics/directories -
/:uuid/top-metrics/files -
/:uuid/top-metrics/clients -
/:uuid/top-metrics/users
Suivi de l'activité sur les SVM
/api/svm/svms-
/:uuid/top-metrics/directories -
/:uuid/top-metrics/files -
/:uuid/top-metrics/clients -
/:uuid/top-metrics/users
Toutes les opérations d'analyse du système de fichiers
/api/storage/volumes/:uuid/filesVous pouvez utiliser
/*/Au lieu d'un UUID afin de définir la règle pour tous les volumes ou SVM sur le terminal.Choisissez les privilèges d'accès pour chaque noeud final.
-
-
Sélectionnez Enregistrer.
-
Pour attribuer le rôle à un ou plusieurs utilisateurs, voir Contrôlez l'accès administrateur.
Si vous utilisez une version de ONTAP antérieure à ONTAP 9.12.1, créez un rôle personnalisé à l'aide de l'interface de ligne de commandes de ONTAP.
-
Créez un rôle par défaut pour accéder à toutes les fonctions.
Cette opération doit être effectuée avant de créer le rôle restrictif afin de garantir que le rôle n'est que restrictif sur le suivi d'activité :
security login role create -cmddirname DEFAULT -access all -role storageAdmin -
Créer le rôle restrictif :
security login role create -cmddirname "volume file show-disk-usage" -access none -role storageAdmin -
Autoriser les rôles à accéder aux services web du SVM :
-
restPour les appels API REST -
securitypour la protection par mot de passe -
sysmgrPour accéder à System Managervserver services web access create -vserver <svm-name> -name rest -role storageAdminvserver services web access create -vserver <svm-name> -name security -role storageAdmin
vserver services web access create -vserver <svm-name> -name sysmgr -role storageAdmin -
-
Créer un utilisateur.
Vous devez exécuter une commande de création distincte pour chaque application que vous souhaitez appliquer à l'utilisateur. Les appels créent plusieurs fois sur le même utilisateur appliquent simplement toutes les applications à cet utilisateur et ne créent pas de nouvel utilisateur à chaque fois. Le
httpLe paramètre pour le type d'application s'applique à l'API REST ONTAP et à System Manager.security login create -user-or-group-name storageUser -authentication-method password -application http -role storageAdmin -
Avec les nouvelles informations d'identification utilisateur, vous pouvez désormais vous connecter à System Manager ou utiliser l'API REST de ONTAP pour accéder aux données d'analytique des systèmes de fichiers.