Scopri di più sulla gestione dell'identità e degli accessi NetApp Console
Suggerisci modifiche
PDF
Utilizza la gestione delle identità e degli accessi (IAM) di NetApp Console per organizzare le tue risorse NetApp e controllare l'accesso in base alla struttura aziendale, in base a sede, reparto o progetto.
Le risorse vengono organizzate in una gerarchia: al vertice si trova l'organizzazione, seguita dalle cartelle (che possono contenere altre cartelle o progetti) e infine dai progetti, che a loro volta dispongono di sistemi storage, carichi di lavoro e agenti.
Assegna ruoli di accesso a livello di organizzazione, cartella o progetto in modo che gli utenti abbiano il giusto accesso alle risorse.
|
È necessario disporre dei ruoli Super admin, Organization admin o Folder or project admin per gestire IAM in NetApp Console. |
L'immagine seguente illustra questa gerarchia a livello di base.
Componenti di gestione dell'identità e dell'accesso
NetApp Console IAM si basa su tre tipi di componenti: componenti organizzativi che definiscono la gerarchia, risorse che vengono assegnate all'interno di tale gerarchia e membri e ruoli che controllano chi può accedere a cosa.
NetApp Console componenti organizzativi
Le componenti organizzative—organizzazione, cartelle e progetti—formano una gerarchia che determina come vengono raggruppate le risorse e come viene delegato l'accesso.
- Organizzazione
-
Un'organizzazione è il livello più alto del sistema Console IAM e in genere rappresenta la tua azienda. La tua organizzazione è composta da cartelle, progetti, membri, ruoli e risorse. Le risorse sono associate ai progetti e ai membri vengono assegnati ruoli a livello di organizzazione, cartella o progetto.
- Progetti
-
I progetti raggruppano risorse di storage. Assegna le risorse ai progetti e concedi agli utenti l'accesso a livello di progetto. Le risorse possono appartenere a più progetti. Gli utenti con accesso a un progetto possono utilizzarne le risorse.
Ad esempio, è possibile associare un sistema ONTAP locale a un singolo progetto o a tutti i progetti della propria organizzazione, a seconda delle esigenze.
- Cartelle
-
Raggruppa i progetti correlati in per organizzarli per posizione, sito o unità aziendale. Non è possibile associare risorse direttamente alle cartelle, ma assegnando a un utente un ruolo a livello di cartella, quest'ultimo avrà accesso a tutti i progetti contenuti in quella cartella.
|
|
Gli utenti con il ruolo di amministratore dell'organizzazione possono aggiungere risorse a una cartella per delegare l'attività di associazione della risorsa ai progetti agli amministratori della cartella o del progetto corrispondente. "Scopri come associare una risorsa a una cartella". |
Risorse
Una risorsa è un'entità di cui la Console è a conoscenza e che può essere assegnata a un progetto. Le risorse includono sistemi storage, abbonamenti Keystone, alcuni carichi di lavoro di NetApp Backup and Recovery, nonché agenti della Console.
Associa una risorsa a un progetto in modo che gli utenti con accesso al progetto possano utilizzare la risorsa.
Ad esempio, potresti associare un sistema Cloud Volumes ONTAP a un progetto o a tutti i progetti della tua organizzazione. Il modo in cui associare una risorsa dipende dalle esigenze della tua organizzazione.
- Sistemi storage
-
I sistemi storage sono le risorse principali che si gestiscono in NetApp Console. NetApp Console supporta la gestione sia di sistemi storage locali che di cloud storage. Aggiungi un sistema storage a un progetto in modo che gli utenti con accesso al progetto possano accedervi.
I sistemi storage vengono automaticamente associati al progetto in cui vengono aggiunti, ma puoi associarli ad altri progetti o cartelle dalla pagina Resources. Non puoi associare i sistemi storage FSx for NetApp ONTAP a progetti o cartelle, ma puoi visualizzarli nella pagina Systems o da Workloads.
- Abbonamenti Keystone
-
Gli abbonamenti Keystone sono anche risorse che è possibile associare ai progetti per concedere agli utenti l'accesso all'abbonamento in NetApp Console.
- Carichi di lavoro di Backup and Recovery (Oracle e Microsoft SQL Server)
-
Alcuni carichi di lavoro di backup e ripristino sono considerati anche risorse. Assegna un carico di lavoro di backup e ripristino a un progetto per concedere agli utenti l'accesso.
- Agenti della console
-
Gli amministratori dell'organizzazione creano agenti della Console per gestire i sistemi storage e abilitare i servizi dati NetApp. Gli agenti sono inizialmente associati al progetto in cui vengono creati, ma gli amministratori possono aggiungerli ad altri progetti dalla pagina Agents.
Membri e ruoli
I membri sono gli utenti e gli account di servizio della tua organizzazione. I ruoli definiscono quali azioni possono eseguire e a quale livello della gerarchia—organizzazione, cartella o progetto.
- Membri
-
I membri della tua organizzazione sono account utente o account di servizio. Un account di servizio viene solitamente utilizzato da un'applicazione per completare attività specifiche senza l'intervento umano.
Aggiungi i membri alla tua organizzazione dopo che si sono registrati a NetApp Console. Dopo averli aggiunti, assegna ruoli per fornire accesso alle risorse. Puoi aggiungere manualmente gli account di servizio dall'interno della Console oppure automatizzarne la creazione e la gestione tramite la NetApp Console IAM API.
- Ruoli di accesso
-
La Console fornisce ruoli di accesso che puoi assegnare ai membri della tua organizzazione.
Quando si associa un membro a un ruolo, è possibile assegnare tale ruolo all'intera organizzazione, a una cartella specifica o a un progetto specifico. Il ruolo selezionato conferisce al membro l'autorizzazione ad accedere alle risorse nella parte della gerarchia selezionata.
NetApp Console offre ruoli granulari che aderiscono al principio del "minimo privilegio", il che significa che i ruoli di accesso sono progettati per dare agli utenti accesso solo a ciò di cui hanno bisogno.
Gli utenti possono ricoprire ruoli multipli man mano che le loro mansioni si espandono.
Esempi di strategia IAM
La struttura IAM più adatta dipende dalle dimensioni della tua organizzazione e da come sono organizzati i tuoi team. Gli esempi seguenti mostrano come diverse organizzazioni possono utilizzare la gerarchia IAM per gestire l'accesso in modo efficace.
Strategia per piccole organizzazioni
Per le organizzazioni con meno di 50 utenti e una gestione centralizzata dell'archiviazione, si può prendere in considerazione un approccio semplificato che utilizzi i ruoli di Super amministratore e Super visualizzatore.
Esempio: ABC Corporation (team di 5 persone)
-
Struttura: Unica organizzazione con 3 progetti (Produzione, Sviluppo, Backup)
-
Ruoli:
-
2 membri senior: ruolo di Super amministratore per accesso amministrativo completo
-
3 membri del team: ruolo di Super viewer per il monitoraggio senza diritti di modifica
-
-
Strategia dell'agente: Singolo agente associato a tutti i progetti per l'accesso alle risorse condivise
-
Vantaggi: Amministrazione semplificata, ridotta complessità dei ruoli, adatto a team che necessitano di un ampio accesso
Strategia aziendale multiregionale
Per le grandi organizzazioni con attività regionali e team specializzati, è opportuno implementare un approccio gerarchico con cartelle che rappresentano i confini geografici o delle unità aziendali.
Esempio: XYZ Corporation (multinazionale)
-
Struttura: Organizzazione > Cartelle regionali (Nord America, Europa, Asia-Pacifico) > Cartelle di progetto per regione
-
Ruoli della piattaforma:
-
1 Amministratore dell'organizzazione: supervisione globale e gestione delle policy
-
3 Amministratori di cartelle o progetti: Controllo regionale (uno per regione)
-
1 Amministratore della federazione: Integrazione del provider di identità aziendale
-
-
Ruoli di archiviazione per regione:
-
9 Amministratore di storage: Scopri e gestisci i sistemi di storage nelle regioni assegnate
-
2 Visualizzatore di archiviazione: monitora le risorse di archiviazione nelle diverse regioni
-
1 Specialista in integrità del sistema: Gestisci l'integrità dell'archiviazione senza modifiche al sistema
-
-
Ruoli del servizio dati:
-
Amministratore di backup e ripristino: per progetto in base alle responsabilità di backup
-
Amministratore di Ransomware Resilience: monitoraggio del team di sicurezza nei vari progetti
-
-
Strategia dell'agente: Agenti regionali associati a progetti geografici appropriati
-
Vantaggi: Maggiore sicurezza attraverso la separazione dei ruoli, l'autonomia regionale e la conformità alle normative locali
Strategia di specializzazione dipartimentale
Per le organizzazioni con team specializzati che necessitano di un accesso specifico al servizio dati, utilizzare assegnazioni di ruoli mirate in base alle responsabilità funzionali.
Esempio: TechCorp (azienda tecnologica di medie dimensioni)
-
Struttura: Organizzazione > Cartelle dipartimentali (IT, Sicurezza, Sviluppo) > Risorse specifiche del progetto
-
Ruoli specializzati:
-
Team di sicurezza: ruoli di amministratore di Ransomware Resilience e visualizzatore di classificazione
-
Team di backup: Super amministratore di backup e ripristino per operazioni di backup complete
-
Team di sviluppo: Amministratore di archiviazione per la gestione dell'ambiente di test
-
Team di conformità: Analista di supporto operativo per il monitoraggio e la gestione dei casi di supporto
-
-
Strategia dell'agente: Agenti collegati a progetti dipartimentali in base alla proprietà delle risorse
-
Vantaggi: Controllo degli accessi personalizzato, maggiore efficienza operativa e chiara responsabilità per attività specializzate