Gérer les règles d'opération protégées
Vous créez des règles de vérification multi-administration (MAV) pour désigner des opérations nécessitant une approbation. Chaque fois qu'une opération est lancée, des opérations protégées sont interceptées et une demande d'approbation est générée.
Les règles peuvent être créées avant d'activer MAV par tout administrateur disposant des fonctionnalités RBAC appropriées, mais une fois MAV activé, toute modification de l'ensemble de règles nécessite l'approbation MAV.
Une seule règle MAV peut être créée par opération ; par exemple, vous ne pouvez pas en créer plusieurs volume-snapshot-delete
règles. Toutes les contraintes de règle souhaitées doivent être contenues dans une règle.
Vous pouvez créer des règles à protéger "ces commandes". Vous pouvez protéger chaque commande en commençant par la version ONTAP dans laquelle la fonctionnalité de protection pour la commande a été mise à disposition pour la première fois.
Les règles pour les commandes par défaut du système MAV, le security multi-admin-verify
"commandes", ne peut pas être modifié.
Outre les opérations définies par le système, les commandes suivantes sont protégées par défaut lorsque la vérification multiadministrateur est activée, mais vous pouvez modifier les règles pour supprimer la protection de ces commandes.
-
security login password
-
security login unlock
-
set
Contraintes de règle
Lorsque vous créez une règle, vous pouvez éventuellement spécifier le -query
option permettant de limiter la demande à un sous-ensemble de la fonctionnalité de la commande. Le -query
Option peut également être utilisée pour limiter les éléments de configuration tels que la SVM, le volume et les noms des snapshots.
Par exemple, dans le volume snapshot delete
commande -query
peut être défini sur -snapshot !hourly*,!daily*,!weekly*
, Ce qui signifie que les instantanés de volume préfixés avec des attributs horaires, quotidiens ou hebdomadaires sont exclus des protections MAV.
smci-vsim20::> security multi-admin-verify rule show Required Approval Vserver Operation Approvers Groups ------- -------------------------------------- --------- ------------- vs01 volume snapshot delete - - Query: -snapshot !hourly*,!daily*,!weekly*
Tous les éléments de configuration exclus ne seraient pas protégés par MAV, et tout administrateur pourrait les supprimer ou les renommer. |
Par défaut, les règles spécifient qu'un correspondant security multi-admin-verify request create “protected_operation”
la commande est générée automatiquement lorsqu'une opération protégée est saisie. Vous pouvez modifier cette valeur par défaut pour exiger que la request create
la commande doit être saisie séparément.
Par défaut, les règles héritent des paramètres généraux MAV suivants, bien que vous puissiez spécifier des exceptions spécifiques aux règles :
-
Nombre requis d'approbateurs
-
Groupes d'approbation
-
Période d'expiration de l'approbation
-
Période d'expiration de l'exécution
Procédure de System Manager
Pour ajouter une règle d'opération protégée pour la première fois, reportez-vous à la procédure de System Manager à "activation de la vérification multi-administrateurs"
Pour modifier le jeu de règles existant :
-
Sélectionnez Cluster > Paramètres.
-
Sélectionnez en regard de Multi-Admin Approval dans la section sécurité.
-
Sélectionnez cette option pour ajouter au moins une règle ; vous pouvez également modifier ou supprimer des règles existantes.
-
Opération – sélectionnez une commande prise en charge dans la liste.
-
Requête – saisissez les options et les valeurs de commande souhaitées.
-
Paramètres facultatifs – laissez vide pour appliquer des paramètres globaux ou attribuez une valeur différente pour des règles spécifiques afin de remplacer les paramètres globaux.
-
Nombre requis d'approbateurs
-
Groupes d'approbation
-
-
Procédure CLI
Tout security multi-admin-verify rule Les commandes exigent l'approbation de l'administrateur MAV avant leur exécution, sauf security multi-admin-verify rule show .
|
Si vous voulez… | Saisissez cette commande |
---|---|
Créer une règle |
|
Modifier les informations d'identification des administrateurs actuels |
Exemple : la règle suivante nécessite l'approbation pour supprimer le volume racine.
|
Modifier une règle |
|
Supprimer une règle |
|
Afficher les règles |
|
Pour plus d'informations sur la syntaxe de commande, reportez-vous à la section security multi-admin-verify rule
pages de manuel.