Role-based access control con gli analytics del file system ONTAP
Suggerisci modifiche
PDF
A partire da ONTAP 9.12.1, ONTAP include un ruolo predefinito RBAC (role-based access control) chiamato admin-no-fsa. Il admin-no-fsa ruolo concede Privileges a livello di amministratore, ma impedisce all'utente di eseguire operazioni correlate all' `files`endpoint (ad esempio analisi del file system) nell'interfaccia CLI di ONTAP, nell'API REST e in Gestione sistema.
Per ulteriori informazioni su admin-no-fsa ruolo, fare riferimento a. Ruoli predefiniti per gli amministratori del cluster.
Se si utilizza una versione di ONTAP rilasciata prima di ONTAP 9.12.1, sarà necessario creare un ruolo dedicato per controllare l'accesso all'analisi del file system. Nelle versioni di ONTAP precedenti a ONTAP 9.12.1, è necessario configurare le autorizzazioni RBAC tramite l'interfaccia CLI di ONTAP o l'API REST di ONTAP.
A partire da ONTAP 9.12.1, puoi configurare i permessi RBAC per file System Analytics usando System Manager.
-
Selezionare Cluster > Settings (cluster > Impostazioni). In sicurezza, accedere a utenti e ruoli e selezionare
. -
In ruoli, selezionare
. -
Fornire un nome per il ruolo. Nella sezione attributi ruolo, configurare l'accesso o le restrizioni per il ruolo utente fornendo l'appropriato "Endpoint API". Consultare la tabella seguente per i percorsi primari e secondari per configurare l'accesso o le restrizioni di file System Analytics.
Restrizione Percorso primario Percorso secondario Monitoraggio delle attività sui volumi
/api/storage/volumes-
/:uuid/top-metrics/directories -
/:uuid/top-metrics/files -
/:uuid/top-metrics/clients -
/:uuid/top-metrics/users
Monitoraggio delle attività su SVM
/api/svm/svms-
/:uuid/top-metrics/directories -
/:uuid/top-metrics/files -
/:uuid/top-metrics/clients -
/:uuid/top-metrics/users
Tutte le operazioni di analisi del file system
/api/storage/volumes/:uuid/filesÈ possibile utilizzare
/*/Invece di un UUID per impostare la policy per tutti i volumi o le SVM all'endpoint.Scegliere i privilegi di accesso per ciascun endpoint.
-
-
Selezionare Salva.
-
Per assegnare il ruolo a uno o più utenti, vedere Controllare l'accesso dell'amministratore.
Se si utilizza una versione di ONTAP rilasciata prima di ONTAP 9.12.1, utilizzare l'interfaccia utente di ONTAP per creare un ruolo personalizzato.
-
Creare un ruolo predefinito per avere accesso a tutte le funzionalità.
Questa operazione deve essere eseguita prima di creare un ruolo restrittivo per garantire che il ruolo sia limitato solo al monitoraggio attività:
security login role create -cmddirname DEFAULT -access all -role storageAdmin -
Creare il ruolo restrittivo:
security login role create -cmddirname "volume file show-disk-usage" -access none -role storageAdmin -
Autorizzare i ruoli ad accedere ai servizi Web di SVM:
-
restPer chiamate API REST -
securityper la protezione tramite password -
sysmgrPer l'accesso a System Managervserver services web access create -vserver svm-name -name_ -name rest -role storageAdminvserver services web access create -vserver svm-name -name security -role storageAdmin
vserver services web access create -vserver svm-name -name sysmgr -role storageAdmin -
-
Creare un utente.
È necessario eseguire un comando di creazione distinto per ciascuna applicazione che si desidera applicare all'utente. La chiamata a create più volte sullo stesso utente applica semplicemente tutte le applicazioni a quell'utente e non crea un nuovo utente ogni volta. Il
httpIl parametro per il tipo di applicazione si applica all'API REST di ONTAP e al Gestore di sistema.security login create -user-or-group-name storageUser -authentication-method password -application http -role storageAdmin -
Con le nuove credenziali utente, è ora possibile accedere a Gestore di sistema o utilizzare l'API REST di ONTAP per accedere ai dati di analisi dei file system.