Notes de mise à jour
Gérer les règles d'opération protégées
Suggérer des modifications
-
Un fichier PDF de toute la documentation
-
Administration du cluster
-
L'administration des volumes
-
Gestion du stockage logique avec l'interface de ligne de commandes
-
Utilisez des quotas pour limiter ou suivre l'utilisation des ressources
-
-
-
Gestion du stockage NAS
-
Configurez NFS avec l'interface de ligne de commande
-
Gérez NFS avec l'interface de ligne de commande
-
Gestion de SMB avec l'interface de ligne de commandes
-
Gérer les serveurs SMB
-
Gérer l'accès aux fichiers via SMB
-
-
-
Gestion du stockage SAN
-
Authentification et contrôle d'accès
-
Sécurité et chiffrement des données
-
Utilisez FPolicy pour le contrôle et la gestion des fichiers sur SVM
-
-
Protection des données et reprise d'activité
-
Plusieurs fichiers PDF
Creating your file...
Vous créez des règles de vérification multi-administration (MAV) pour désigner des opérations nécessitant une approbation. Chaque fois qu'une opération est lancée, des opérations protégées sont interceptées et une demande d'approbation est générée.
Les règles peuvent être créées avant d'activer MAV par tout administrateur disposant des fonctionnalités RBAC appropriées, mais une fois MAV activé, toute modification de l'ensemble de règles nécessite l'approbation MAV.
Une seule règle MAV peut être créée par opération ; par exemple, vous ne pouvez pas en créer plusieurs volume-snapshot-delete règles. Toutes les contraintes de règle souhaitées doivent être contenues dans une règle.
Commandes protégées par des règles
Vous pouvez créer des règles pour protéger les commandes suivantes à partir de ONTAP 9.11.1.
|
|
Vous pouvez créer des règles pour protéger les commandes suivantes à partir de ONTAP 9.13.1 :
-
volume snaplock modify -
security anti-ransomware volume attack clear-suspect -
security anti-ransomware volume disable -
security anti-ransomware volume pause
Vous pouvez créer des règles pour protéger les commandes suivantes à partir de ONTAP 9.14.1 :
-
volume recovery-queue modify -
volume recovery-queue purge -
volume recovery-queue purge-all -
vserver modify
Les règles pour les commandes par défaut du système MAV, le security multi-admin-verify "commandes", ne peut pas être modifié.
Outre les commandes définies par le système, les commandes suivantes sont protégées par défaut lorsque la vérification multi-admin est activée, mais vous pouvez modifier les règles afin de supprimer la protection de ces commandes.
-
security login password -
security login unlock -
set
Contraintes de règle
Lorsque vous créez une règle, vous pouvez éventuellement spécifier le -query option permettant de limiter la demande à un sous-ensemble de la fonctionnalité de la commande. Le -query Option peut également être utilisée pour limiter les éléments de configuration tels que la SVM, le volume et les noms des snapshots.
Par exemple, dans le volume snapshot delete commande -query peut être défini sur -snapshot !hourly*,!daily*,!weekly*, Ce qui signifie que les instantanés de volume préfixés avec des attributs horaires, quotidiens ou hebdomadaires sont exclus des protections MAV.
smci-vsim20::> security multi-admin-verify rule show
Required Approval
Vserver Operation Approvers Groups
------- -------------------------------------- --------- -------------
vs01 volume snapshot delete - -
Query: -snapshot !hourly*,!daily*,!weekly*
|
Tous les éléments de configuration exclus ne seraient pas protégés par MAV, et tout administrateur pourrait les supprimer ou les renommer. |
Par défaut, les règles spécifient qu'un correspondant security multi-admin-verify request create “protected_operation” la commande est générée automatiquement lorsqu'une opération protégée est saisie. Vous pouvez modifier cette valeur par défaut pour exiger que la request create la commande doit être saisie séparément.
Par défaut, les règles héritent des paramètres généraux MAV suivants, bien que vous puissiez spécifier des exceptions spécifiques aux règles :
-
Nombre requis d'approbateurs
-
Groupes d'approbation
-
Période d'expiration de l'approbation
-
Période d'expiration de l'exécution
Procédure de System Manager
Pour ajouter une règle d'opération protégée pour la première fois, reportez-vous à la procédure de System Manager à "activation de la vérification multi-administrateurs"
Pour modifier le jeu de règles existant :
-
Sélectionnez Cluster > Paramètres.
-
Sélectionnez
En regard de Multi-Admin Approval dans la section Security. -
Sélectionnez
pour ajouter au moins une règle, vous pouvez également modifier ou supprimer des règles existantes.-
Opération – sélectionnez une commande prise en charge dans la liste.
-
Requête – saisissez les options et les valeurs de commande souhaitées.
-
Paramètres facultatifs – laissez vide pour appliquer des paramètres globaux ou attribuez une valeur différente pour des règles spécifiques afin de remplacer les paramètres globaux.
-
Nombre requis d'approbateurs
-
Groupes d'approbation
-
-
Procédure CLI
|
|
Tout security multi-admin-verify rule Les commandes exigent l'approbation de l'administrateur MAV avant leur exécution, sauf security multi-admin-verify rule show.
|
| Si vous voulez… | Saisissez cette commande |
|---|---|
Créer une règle |
|
Modifier les informations d'identification des administrateurs actuels |
Exemple : la règle suivante nécessite l'approbation pour supprimer le volume racine.
|
Modifier une règle |
|
Supprimer une règle |
|
Afficher les règles |
|
Pour plus d'informations sur la syntaxe de commande, reportez-vous à la section security multi-admin-verify rule pages de manuel.