Déploiement et mise à niveau
Contrôle d'accès basé sur des rôles ONTAP pour l'appliance virtuelle pour VSC, VASA Provider et SRA
Suggérer des modifications
PDF
Le contrôle d'accès basé sur des rôles (RBAC) de ONTAP vous permet de contrôler l'accès aux systèmes de stockage spécifiques et de contrôler les actions qu'un utilisateur peut effectuer sur ces systèmes. Dans Virtual Storage Console pour VMware vSphere, la fonction RBAC d'ONTAP fonctionne avec vCenter Server RBAC pour déterminer quelles tâches VSC (Virtual Storage Console) un utilisateur peut effectuer sur les objets d'un système de stockage spécifique.
VSC utilise les identifiants (nom d'utilisateur et mot de passe) que vous configurez dans VSC afin d'authentifier chaque système de stockage et de déterminer les opérations de stockage pouvant être effectuées sur ce système de stockage. VSC utilise un ensemble d'identifiants pour chaque système de stockage. Ces identifiants déterminent quelles tâches VSC peuvent être effectuées sur ce système de stockage. En d'autres termes, les identifiants sont utilisés pour VSC et non pour un utilisateur VSC.
Le contrôle d'accès basé sur des rôles (RBAC) ONTAP ne s'applique qu'à l'accès aux systèmes de stockage et aux tâches VSC liées au stockage, comme le provisionnement de machines virtuelles. Si vous ne disposez pas des privilèges ONTAP RBAC appropriés pour un système de stockage spécifique, vous ne pouvez pas effectuer de tâches sur un objet vSphere hébergé sur ce système de stockage. Vous pouvez utiliser le contrôle d'accès basé sur des rôles ONTAP associé aux privilèges spécifiques de VSC afin de contrôler les tâches VSC que un utilisateur peut effectuer :
-
Surveillance et configuration d'objets de stockage ou vCenter Server résidant sur un système de stockage
-
Provisionnement d'objets vSphere résidant sur un système de stockage
L'utilisation du contrôle d'accès basé sur des rôles (RBAC) ONTAP avec les privilèges spécifiques de VSC fournit une couche de sécurité orientée stockage que l'administrateur du stockage peut gérer. Par conséquent, le contrôle d'accès est plus granulaire que ce que vous ne pouvez prendre en charge que le RBAC ONTAP seul ou le RBAC vCenter Server. Par exemple, avec le contrôle d'accès basé sur les rôles du serveur vCenter, vous pouvez autoriser l'utilisateur vCenter à provisionner un datastore sur le stockage tout en empêchant l'utilisateur vCenter de provisionner des datastores. Si les informations d'identification du système de stockage pour un système de stockage spécifique ne prennent pas en charge la création de stockage, ni vCenter UserB ni vCenter UserA ne peuvent provisionner un datastore sur ce système de stockage.
Lorsque vous lancez une tâche VSC, VSC vérifie d'abord si vous disposez de l'autorisation vCenter Server appropriée pour cette tâche. Si l'autorisation de vCenter Server n'est pas suffisante pour vous permettre d'effectuer la tâche, VSC n'a pas besoin de vérifier les privilèges ONTAP de ce système de stockage car vous n'avez pas réussi le contrôle de sécurité initial du serveur vCenter. Dans ce cas, vous ne pouvez pas accéder au système de stockage.
Si l'autorisation vCenter Server est suffisante, VSC vérifie alors les privilèges RBAC ONTAP (votre rôle ONTAP) associés aux informations d'identification du système de stockage (nom d'utilisateur et mot de passe) Pour déterminer si vous disposez de privilèges suffisants pour exécuter les opérations de stockage requises par la tâche VSC sur ce système de stockage. Si vous disposez des privilèges ONTAP appropriés, vous pouvez accéder au système de stockage et effectuer la tâche VSC. Les rôles ONTAP déterminent les tâches VSC que vous pouvez effectuer sur le système de stockage.
Chaque système de stockage dispose d'un ensemble de privilèges ONTAP qui lui sont associés.
L'utilisation de RBAC ONTAP et du RBAC vCenter Server offre les avantages suivants :
-
Sécurité
L'administrateur peut déterminer les utilisateurs qui peuvent effectuer les tâches au niveau objet précis de vCenter Server et au niveau du système de stockage.
-
Informations d'audit
Dans de nombreux cas, VSC fournit une piste d'audit sur le système de stockage, qui vous permet de suivre les événements vers l'utilisateur vCenter Server qui a effectué les modifications du stockage.
-
Facilité d'utilisation
Vous pouvez conserver toutes les informations d'identification du contrôleur en un seul emplacement.