Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Gérez des règles de vérification multiadministrateur pour les opérations protégées dans ONTAP

Contributeurs netapp-dbagwell netapp-aaron-holt netapp-forry netapp-aoife netapp-bhouser netapp-ahibbard netapp-lenida
PDF

Vous créez des règles de vérification multi-administration (MAV) pour désigner des opérations nécessitant une approbation. Chaque fois qu'une opération est lancée, des opérations protégées sont interceptées et une demande d'approbation est générée.

Les règles peuvent être créées avant d'activer MAV par tout administrateur disposant des fonctionnalités RBAC appropriées, mais une fois MAV activé, toute modification de l'ensemble de règles nécessite l'approbation MAV.

Une seule règle MAV peut être créée par opération ; par exemple, vous ne pouvez pas en créer plusieurs volume-snapshot-delete règles. Toutes les contraintes de règle souhaitées doivent être contenues dans une règle.

Vous pouvez créer des règles à protéger "ces commandes". Vous pouvez protéger chaque commande en commençant par la version ONTAP dans laquelle la fonctionnalité de protection pour la commande a été mise à disposition pour la première fois.

Les règles pour les commandes par défaut du système MAV, le security multi-admin-verify "commandes", ne peut pas être modifié.

Outre les opérations définies par le système, les commandes suivantes sont protégées par défaut lorsque la vérification multi-administrateur est activée, mais vous pouvez modifier les règles pour supprimer la protection de ces commandes :

Contraintes de règle

Lorsque vous créez une règle, vous pouvez éventuellement spécifier l' `-query`option permettant de limiter la demande à un sous-ensemble de la fonctionnalité de commande. L' `-query`option peut également être utilisée pour limiter les éléments de configuration tels que la SVM, le volume et les noms des snapshots.

Par exemple, dans la volume snapshot delete commande, -query peut être défini sur -snapshot !hourly*,!daily*,!weekly*, ce qui signifie que les snapshots de volume prédéfinis avec des attributs horaires, quotidiens ou hebdomadaires sont exclus des protections MAV.

smci-vsim20::> security multi-admin-verify rule show
                                               Required  Approval
Vserver Operation                              Approvers Groups
------- -------------------------------------- --------- -------------
vs01    volume snapshot delete                 -         -
          Query: -snapshot !hourly*,!daily*,!weekly*
Remarque Tous les éléments de configuration exclus ne seraient pas protégés par MAV, et tout administrateur pourrait les supprimer ou les renommer.

Par défaut, les règles spécifient qu'une commande correspondante security multi-admin-verify request create "protected_operation" est générée automatiquement lorsqu'une opération protégée est saisie. Vous pouvez modifier cette valeur par défaut pour exiger que la request create commande soit saisie séparément.

Par défaut, les règles héritent des paramètres généraux MAV suivants, bien que vous puissiez spécifier des exceptions spécifiques aux règles :

  • Nombre requis d'approbateurs

  • Groupes d'approbation

  • Période d'expiration de l'approbation

  • Période d'expiration de l'exécution

Procédure de System Manager

Pour ajouter une règle d'opération protégée pour la première fois, reportez-vous à la procédure de System Manager à "activation de la vérification multi-administrateurs"

Pour modifier le jeu de règles existant :

  1. Sélectionnez Cluster > Paramètres.

  2. Sélectionnez Icône actions en regard de Multi-Admin Approval dans la section sécurité.

  3. Sélectionnez Ajouter une icône cette option pour ajouter au moins une règle ; vous pouvez également modifier ou supprimer des règles existantes.

    • Opération – sélectionnez une commande prise en charge dans la liste.

    • Requête – saisissez les options et les valeurs de commande souhaitées.

    • Paramètres facultatifs – laissez vide pour appliquer des paramètres globaux ou attribuez une valeur différente pour des règles spécifiques afin de remplacer les paramètres globaux.

      • Nombre requis d'approbateurs

      • Groupes d'approbation

Procédure CLI

Remarque Tout security multi-admin-verify rule Les commandes exigent l'approbation de l'administrateur MAV avant leur exécution, sauf security multi-admin-verify rule show.
Si vous voulez… Saisissez cette commande

Créer une règle

security multi-admin-verify rule create -operation "protected_operation" [-query operation_subset] [parameters]

Modifier les informations d'identification des administrateurs actuels

security login modify <parameters>

Exemple : la règle suivante nécessite l'approbation pour supprimer le volume racine.

security multi-admin-verify rule create -operation "volume delete" -query "-vserver vs0"

Modifier une règle

security multi-admin-verify rule modify -operation "protected_operation" [parameters]

Supprimer une règle

security multi-admin-verify rule delete -operation "protected_operation"

Afficher les règles

security multi-admin-verify rule show
Informations associées