Contrôle d'accès basé sur des rôles dans SnapCenter
Suggérer des modifications
PDF
Le contrôle d'accès basé sur les rôles (RBAC) de SnapCenter et les autorisations ONTAP permettent aux administrateurs de SnapCenter d'attribuer l'accès aux ressources aux utilisateurs ou aux groupes. Cet accès géré de manière centralisée permet aux administrateurs d’applications de travailler en toute sécurité dans des environnements désignés.
Vous devez créer ou modifier des rôles et ajouter un accès aux ressources aux utilisateurs. Lors de la configuration de SnapCenter pour la première fois, ajoutez des utilisateurs ou des groupes Active Directory aux rôles et attribuez des ressources à ces utilisateurs ou groupes.
|
SnapCenter ne crée pas de comptes d’utilisateur ou de groupe. Créez des comptes d’utilisateur ou de groupe dans l’Active Directory du système d’exploitation ou de la base de données. |
Types de RBAC dans SnapCenter
SnapCenter prend en charge les types de contrôle d’accès basé sur les rôles suivants :
-
RBAC SnapCenter
-
RBAC au niveau des applications
-
Plug-in SnapCenter pour VMware vSphere RBAC
-
Autorisations ONTAP
RBAC SnapCenter
SnapCenter dispose de rôles prédéfinis et vous pouvez attribuer des utilisateurs ou des groupes à ces rôles.
-
Rôle d'administrateur SnapCenter
-
Rôle d'administrateur de clones et de sauvegarde des applications
-
Rôle Backup and Clone Viewer
-
Rôle d'administrateur de l'infrastructure
Lorsque vous attribuez un rôle à un utilisateur, SnapCenter affiche les tâches pertinentes pour cet utilisateur sur la page Tâches, sauf si l'utilisateur dispose du rôle SnapCenterAdmin.
Vous pouvez également créer de nouveaux rôles et gérer les autorisations et les utilisateurs. Vous pouvez attribuer des autorisations aux utilisateurs ou aux groupes pour accéder aux objets SnapCenter tels que les hôtes, les connexions de stockage et les groupes de ressources.
Vous pouvez attribuer des autorisations RBAC aux utilisateurs et groupes au sein de la même forêt et aux utilisateurs appartenant à différentes forêts. Vous ne pouvez pas attribuer d'autorisations RBAC aux utilisateurs appartenant à des groupes imbriqués dans les forêts.
|
|
Lorsque vous créez un rôle personnalisé, assurez-vous qu’il inclut toutes les autorisations du rôle SnapCenterAdmin. Si vous copiez uniquement certaines autorisations, SnapCenter vous empêche d'effectuer toutes les opérations. |
Les utilisateurs doivent s’authentifier lors de la connexion via l’interface utilisateur ou les applets de commande PowerShell. Si les utilisateurs ont plusieurs rôles, ils sélectionnent un rôle après s'être connectés. L'authentification est également requise pour exécuter les API.
RBAC au niveau des applications
SnapCenter utilise les identifiants pour vérifier que les utilisateurs SnapCenter autorisés disposent également des autorisations au niveau de l'application.
Par exemple, pour effectuer des opérations de protection des données dans un environnement SQL Server, définissez les informations d’identification Windows ou SQL appropriées. Si vous souhaitez effectuer des opérations de protection des données dans un environnement de système de fichiers Windows sur le stockage ONTAP , le rôle d’administrateur SnapCenter doit disposer de privilèges d’administrateur sur l’hôte Windows.
De même, si vous souhaitez effectuer des opérations de protection des données sur une base de données Oracle et si l'authentification du système d'exploitation (OS) est désactivée sur l'hôte de la base de données, vous devez définir les informations d'identification avec les informations d'identification de la base de données Oracle ou Oracle ASM. Le serveur SnapCenter authentifie les informations d’identification définies à l’aide de l’une de ces méthodes en fonction de l’opération.
Plug-in SnapCenter pour VMware vSphere RBAC
Si vous utilisez le plug-in SnapCenter pour la protection de données cohérente avec les machines virtuelles, vCenter Server offre un niveau supplémentaire de contrôle d'accès basé sur des rôles (RBAC). Le plug-in SnapCenter VMware prend en charge le RBAC vCenter Server et ONTAP RBAC. "En savoir plus"
REMARQUE : NetApp vous recommande de créer un rôle ONTAP pour les opérations SnapCenter Plug-in for VMware vSphere et de lui attribuer tous les privilèges requis.
Autorisations ONTAP
Vous devez créer un compte vsadmin avec les autorisations requises pour accéder au système de stockage."En savoir plus"
Autorisations attribuées aux rôles SnapCenter prédéfinis
Lorsque vous ajoutez un utilisateur à un rôle, attribuez soit l'autorisation StorageConnection pour activer la communication de la machine virtuelle de stockage (SVM), soit une SVM à l'utilisateur pour lui accorder l'autorisation d'utiliser la SVM. L'autorisation Connexion de stockage permet aux utilisateurs de créer des connexions SVM.
Par exemple, un administrateur SnapCenter peut créer des connexions SVM et les attribuer aux utilisateurs administrateurs de sauvegarde d'application et de clonage, qui ne peuvent pas créer ou modifier des connexions SVM. Sans connexion SVM, les utilisateurs ne peuvent pas effectuer d’opérations de sauvegarde, de clonage ou de restauration.
Rôle d'administrateur SnapCenter
Toutes les autorisations sont activées pour le rôle d'administrateur SnapCenter. Vous ne pouvez pas modifier les autorisations pour ce rôle. Vous pouvez ajouter des utilisateurs et des groupes au rôle ou les supprimer.
Rôle d'administrateur de clones et de sauvegarde des applications
Le rôle d'administrateur d'applications et de clones dispose des autorisations nécessaires pour effectuer des actions administratives pour les sauvegardes d'applications et les tâches liées au clonage. Ce rôle ne dispose pas des autorisations nécessaires pour la gestion des hôtes, le provisionnement, la gestion des connexions de stockage ou l'installation à distance.
| Autorisations | Activé | Création | Lecture | Mise à jour | Supprimer |
|---|---|---|---|---|---|
Groupe de ressources |
Sans objet |
Oui. |
Oui. |
Oui. |
Oui. |
Politique |
Sans objet |
Oui. |
Oui. |
Oui. |
Oui. |
Sauvegarde |
Sans objet |
Oui. |
Oui. |
Oui. |
Oui. |
Hôte |
Sans objet |
Oui. |
Oui. |
Oui. |
Oui. |
Connexion de stockage |
Sans objet |
Non |
Oui. |
Non |
Non |
Clonage |
Sans objet |
Oui. |
Oui. |
Oui. |
Oui. |
Provisionnement |
Sans objet |
Non |
Oui. |
Non |
Non |
Tableau de bord |
Oui. |
Sans objet |
Sans objet |
Sans objet |
Sans objet |
Rapports |
Oui. |
Sans objet |
Sans objet |
Sans objet |
Sans objet |
Restaurer |
Oui. |
Sans objet |
Sans objet |
Sans objet |
Sans objet |
Ressource |
Oui. |
Oui. |
Oui. |
Oui. |
Oui. |
Installation/désinstallation du plug-in |
Non |
Sans objet |
Sans objet |
Sans objet |
|
Migration |
Non |
Sans objet |
Sans objet |
Sans objet |
Sans objet |
Montage |
Oui. |
Oui. |
Sans objet |
Sans objet |
Sans objet |
Démonter |
Oui. |
Oui. |
Sans objet |
Sans objet |
Sans objet |
Restauration complète du volume |
Non |
Non |
Sans objet |
Sans objet |
Sans objet |
Protection secondaire |
Non |
Non |
Sans objet |
Sans objet |
Sans objet |
Moniteur de tâche |
Oui. |
Sans objet |
Sans objet |
Sans objet |
Sans objet |
Rôle Backup and Clone Viewer
Le rôle Visionneuse de sauvegarde et de clonage dispose d'une vue en lecture seule de toutes les autorisations. Ce rôle dispose également d'autorisations activées pour la découverte, la création de rapports et l'accès au tableau de bord.
| Autorisations | Activé | Création | Lecture | Mise à jour | Supprimer |
|---|---|---|---|---|---|
Groupe de ressources |
Sans objet |
Non |
Oui. |
Non |
Non |
Politique |
Sans objet |
Non |
Oui. |
Non |
Non |
Sauvegarde |
Sans objet |
Non |
Oui. |
Non |
Non |
Hôte |
Sans objet |
Non |
Oui. |
Non |
Non |
Connexion de stockage |
Sans objet |
Non |
Oui. |
Non |
Non |
Clonage |
Sans objet |
Non |
Oui. |
Non |
Non |
Provisionnement |
Sans objet |
Non |
Oui. |
Non |
Non |
Tableau de bord |
Oui. |
Sans objet |
Sans objet |
Sans objet |
Sans objet |
Rapports |
Oui. |
Sans objet |
Sans objet |
Sans objet |
Sans objet |
Restaurer |
Non |
Non |
Sans objet |
Sans objet |
Sans objet |
Ressource |
Non |
Non |
Oui. |
Oui. |
Non |
Installation/désinstallation du plug-in |
Non |
Sans objet |
Sans objet |
Sans objet |
Sans objet |
Migration |
Non |
Sans objet |
Sans objet |
Sans objet |
Sans objet |
Montage |
Oui. |
Sans objet |
Sans objet |
Sans objet |
Sans objet |
Démonter |
Oui. |
Sans objet |
Sans objet |
Sans objet |
Sans objet |
Restauration complète du volume |
Non |
Sans objet |
Sans objet |
Sans objet |
Sans objet |
Protection secondaire |
Non |
Sans objet |
Sans objet |
Sans objet |
Sans objet |
Moniteur de tâche |
Oui. |
Sans objet |
Sans objet |
Sans objet |
Sans objet |
Rôle d'administrateur de l'infrastructure
Le rôle d'administrateur de l'infrastructure possède des autorisations pour la gestion des hôtes, la gestion du stockage, le provisionnement, les groupes de ressources, les rapports d'installation à distance, Et l'accès au Tableau de bord.
| Autorisations | Activé | Création | Lecture | Mise à jour | Supprimer |
|---|---|---|---|---|---|
Groupe de ressources |
Sans objet |
Oui. |
Oui. |
Oui. |
Oui. |
Politique |
Sans objet |
Non |
Oui. |
Oui. |
Oui. |
Sauvegarde |
Sans objet |
Oui. |
Oui. |
Oui. |
Oui. |
Hôte |
Sans objet |
Oui. |
Oui. |
Oui. |
Oui. |
Connexion de stockage |
Sans objet |
Oui. |
Oui. |
Oui. |
Oui. |
Clonage |
Sans objet |
Non |
Oui. |
Non |
Non |
Provisionnement |
Sans objet |
Oui. |
Oui. |
Oui. |
Oui. |
Tableau de bord |
Oui. |
Sans objet |
Sans objet |
Sans objet |
Sans objet |
Rapports |
Oui. |
Sans objet |
Sans objet |
Sans objet |
Sans objet |
Restaurer |
Oui. |
Sans objet |
Sans objet |
Sans objet |
Sans objet |
Ressource |
Oui. |
Oui. |
Oui. |
Oui. |
Oui. |
Installation/désinstallation du plug-in |
Oui. |
Sans objet |
Sans objet |
Sans objet |
Sans objet |
Migration |
Non |
Sans objet |
Sans objet |
Sans objet |
Sans objet |
Montage |
Non |
Sans objet |
Sans objet |
Sans objet |
Sans objet |
Démonter |
Non |
Sans objet |
Sans objet |
Sans objet |
Sans objet |
Restauration complète du volume |
Non |
Non |
Sans objet |
Sans objet |
Sans objet |
Protection secondaire |
Non |
Non |
Sans objet |
Sans objet |
Sans objet |
Moniteur de tâche |
Oui. |
Sans objet |
Sans objet |
Sans objet |
Sans objet |