Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare l'elevazione dei privilegi JIT in ONTAP

Collaboratori netapp-bhouser netapp-aaron-holt
PDF

A partire da ONTAP 9.17.1, gli amministratori di cluster possono configurare l'elevazione dei privilegi just-in-time (JIT) per consentire agli utenti ONTAP di elevare temporaneamente i propri privilegi per eseguire determinate attività. Quando JIT è configurato per un utente, questi può temporaneamente "elevare il loro privilegio" a un ruolo che dispone delle autorizzazioni necessarie per eseguire un'attività. Al termine della sessione, l'utente torna al suo livello di accesso originale.

Gli amministratori del cluster possono configurare la durata di accesso di un utente all'elevazione JIT. Ad esempio, è possibile configurare l'accesso utente all'elevazione JIT con un limite di 30 minuti per sessione (il periodo di validità della sessione) per un periodo di 30 giorni (il periodo di validità JIT). Durante il periodo di 30 giorni, l'utente può elevare i propri privilegi tutte le volte che desidera, ma ogni sessione è limitata a 30 minuti.

L'elevazione dei privilegi JIT supporta il principio del privilegio minimo, consentendo agli utenti di eseguire attività che richiedono privilegi elevati senza concederli in modo permanente. Questo contribuisce a ridurre il rischio di accessi non autorizzati o modifiche accidentali al sistema. I seguenti esempi descrivono alcuni casi d'uso comuni per l'elevazione dei privilegi JIT:

  • Consentire l'accesso temporaneo al security login create E security login delete comandi per abilitare l'onboarding e l'offboarding degli utenti.

  • Consentire l'accesso temporaneo a system node image update E system node upgrade-revert Durante una finestra di aggiornamento. Al termine dell'aggiornamento, l'accesso ai comandi viene revocato.

  • Consentire l'accesso temporaneo a cluster add-node , cluster remove-node , E cluster modify Per abilitare l'espansione o la riconfigurazione del cluster. Una volta completate le modifiche al cluster, l'accesso ai comandi viene revocato.

  • Consentire l'accesso temporaneo a volume snapshot restore Per abilitare le operazioni di ripristino e la gestione delle destinazioni di backup. Una volta completato il ripristino o la configurazione, l'accesso ai comandi viene revocato.

  • Consentire l'accesso temporaneo a security audit log show per abilitare la revisione e l'esportazione del registro di controllo durante un controllo di conformità.

Per un elenco più ampio dei casi d'uso JIT più comuni, fare riferimento a Casi d'uso JIT comuni .

Gli amministratori del cluster possono impostare l'accesso JIT per gli utenti ONTAP e configurare i periodi di validità JIT predefiniti a livello globale nel cluster o per SVM specifiche.

A proposito di questa attività

  • L'elevazione dei privilegi JIT è disponibile solo per gli utenti che accedono a ONTAP tramite SSH. I privilegi elevati sono disponibili solo all'interno della sessione SSH corrente dell'utente, ma possono essere elevati in tutte le sessioni SSH simultanee necessarie.

  • L'elevazione dei privilegi JIT è supportata solo per gli utenti che utilizzano l'autenticazione tramite password, nsswitch o dominio per l'accesso. L'autenticazione a più fattori (MFA) non è supportata per l'elevazione dei privilegi JIT.

Prima di iniziare

  • Devi essere un amministratore del cluster ONTAP presso admin livello di privilegio per eseguire le seguenti attività.

Modificare le impostazioni JIT globali

È possibile modificare le impostazioni JIT predefinite a livello globale, per l'intero cluster ONTAP o per una specifica SVM. Queste impostazioni determinano il periodo di validità predefinito della sessione e il periodo di validità JIT massimo per gli utenti configurati per l'accesso JIT.

A proposito di questa attività

  • Il valore predefinito default-session-validity-period Il valore è un'ora. Questa impostazione determina per quanto tempo un utente può accedere ai privilegi elevati in una sessione JIT prima di doverli riassegnare.

  • Il valore predefinito max-jit-validity-period Il valore è 90 giorni. Questa impostazione determina il periodo massimo durante il quale un utente può accedere all'elevazione JIT dopo la data di inizio configurata. È possibile configurare il periodo di validità JIT per singoli utenti, ma non può superare il periodo di validità JIT massimo.

Fasi

  1. Controllare le impostazioni JIT correnti:

    security jit-privilege show -vserver <svm_name>

    -vserver è facoltativo. Se non si specifica una SVM, il comando mostra le impostazioni JIT globali.

  2. Modificare le impostazioni JIT a livello globale o per una SVM:

    security jit-privilege modify -vserver <svm_name> -default-session-validity-period <period> -max-jit-validity-period <period>

    Se non si specifica una SVM, il comando modifica le impostazioni JIT globali. L'esempio seguente imposterà la durata predefinita della sessione JIT a 45 minuti e la durata massima a 30 giorni per la SVM. svm1 :
    security jit-privilege modify -vserver svm1 -default-session-validity-period 45m -max-jit-validity-period 30d

    In questo esempio, gli utenti potranno accedere all'elevazione JIT per 45 minuti alla volta e potranno avviare sessioni JIT per un massimo di 30 giorni dopo la data di inizio configurata.

Configurare l'accesso all'elevazione dei privilegi JIT per un utente

È possibile assegnare l'accesso con privilegi di elevazione JIT agli utenti ONTAP .

Fasi

  1. Controlla l'accesso JIT corrente per un utente:

    security jit-privilege user show -username <username>

    -username è facoltativo. Se non si specifica un nome utente, il comando mostra l'accesso JIT per tutti gli utenti.

  2. Assegna un nuovo accesso JIT per un utente:

    security jit-privilege create -username <username> -vserver <svm_name> -role <rbac_role> -session-validity-period <period> -jit-validity-period <period> -start-time <date>

    • Se -vserver non è specificato, l'accesso JIT viene assegnato a livello di cluster.

    • -role è il ruolo RBAC a cui l'utente verrà elevato. Se non specificato, -role predefinito su admin .

    • -session-validity-period è la durata per cui l'utente può accedere al ruolo elevato prima di dover avviare una nuova sessione JIT. Se non specificato, il valore globale o SVM default-session-validity-period viene utilizzato.

    • -jit-validity-period è la durata massima per la quale un utente può avviare sessioni JIT dopo la data di inizio configurata. Se non specificato, session-validity-period viene utilizzato. Questo parametro non può superare il valore globale o SVM max-jit-validity-period .

    • -start-time Indica la data e l'ora dopo le quali l'utente può avviare sessioni JIT. Se non specificato, vengono utilizzate la data e l'ora correnti.

      L'esempio seguente consentirà ontap_user per accedere al admin ruolo per 1 ora prima di dover iniziare una nuova sessione JIT. ontap_user potrà avviare sessioni JIT per un periodo di 60 giorni a partire dalle 13:00 del 1° luglio 2025:
      security jit-privilege user create -username ontap_user -role admin -session-validity-period 1h -jit-validity-period 60d -start-time "7/1/25 13:00:00"

  3. Se necessario, revocare l'accesso JIT di un utente:

    security jit-privilege user delete -username <username> -vserver <svm_name>

    Questo comando revocherà l'accesso JIT di un utente, anche se il suo accesso non è scaduto. Se -vserver Se non è specificato, l'accesso JIT viene revocato a livello di cluster. Se l'utente è in una sessione JIT attiva, la sessione verrà terminata.

Casi d'uso JIT comuni

La tabella seguente contiene casi d'uso comuni per l'elevazione dei privilegi JIT. Per ogni caso d'uso, è necessario configurare un ruolo RBAC per fornire l'accesso ai comandi pertinenti. Ogni comando è collegato al riferimento ai comandi ONTAP , con ulteriori informazioni sul comando e sui relativi parametri.

Caso d'utilizzo Comandi Dettagli

Gestione degli utenti e dei ruoli

  • security login create

  • security login delete

Esegui l'elevazione temporanea per aggiungere/rimuovere utenti o modificare ruoli durante l'onboarding o l'offboarding.

Gestione dei certificati

  • security certificate create

  • security certificate install

Concedi l'accesso a breve termine per l'installazione o il rinnovo del certificato.

Controllo di accesso SSH/CLI

  • security login create -application ssh

Concedere temporaneamente l'accesso SSH per la risoluzione dei problemi o per il supporto del fornitore.

Gestione delle licenze

  • system license add

  • system license delete

Concedi i diritti per aggiungere o rimuovere licenze durante l'attivazione o la disattivazione delle funzionalità.

Aggiornamenti e patch di sistema

  • system node image update

  • system node upgrade-revert

Eleva per la finestra di aggiornamento, quindi revoca.

Impostazioni di sicurezza della rete

  • security login role create

  • security login role modify

Consenti modifiche temporanee ai ruoli di sicurezza correlati alla rete.

Gestione dei cluster

  • cluster add-node

  • cluster remove-node

  • cluster modify

Elevate per l'espansione o la riconfigurazione del cluster.

Gestione SVM

  • vserver create

  • vserver delete

  • vserver modify

Concedere temporaneamente a un SVM i diritti di amministratore per il provisioning o la dismissione.

Gestione del volume

  • volume create

  • volume delete

  • volume modify

Elevate per il provisioning, il ridimensionamento o la rimozione del volume.

Gestione degli snapshot

  • volume snapshot create

  • volume snapshot delete

  • volume snapshot restore

Elevate per l'eliminazione degli snapshot o il ripristino durante il ripristino.

Configurazione di rete

  • network interface create

  • network port vlan create

Concedere diritti per modifiche alla rete durante le finestre di manutenzione.

Gestione dischi/aggregati

  • storage disk assign

  • storage aggregate create

  • storage aggregate add-disks

Elevate per aggiungere o rimuovere dischi o gestire aggregati.

Protezione dei dati

  • snapmirror create

  • snapmirror modify

  • snapmirror restore

Eleva temporaneamente per configurare o ripristinare le relazioni SnapMirror .

Ottimizzazione delle prestazioni

  • qos policy-group create

  • qos policy-group modify

Elevate per la risoluzione dei problemi o l'ottimizzazione delle prestazioni.

Accesso al registro di controllo

  • security audit log show

Elevare temporaneamente per la revisione del registro di controllo o per l'esportazione durante i controlli di conformità.

Gestione di eventi e avvisi

  • event notification create

  • event notification modify

Elevate per configurare o testare le notifiche degli eventi o le trap SNMP.

Accesso ai dati basato sulla conformità

  • volume show

  • security audit log show

Concedere ai revisori l'accesso temporaneo in sola lettura per esaminare dati o registri sensibili.

Recensioni di accesso privilegiato

  • security login show

  • security login role show

Eleva temporaneamente i privilegi per rivedere e segnalare gli accessi privilegiati. Concedi l'accesso elevato in sola lettura per un periodo di tempo limitato.
Informazioni correlate