Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Role-based access control con gli analytics del file system ONTAP

Collaboratori netapp-ahibbard netapp-aaron-holt netapp-dbagwell netapp-lenida

A partire da ONTAP 9.12.1, ONTAP include un ruolo di controllo degli accessi in base al ruolo (RBAC) predefinito chiamato admin-no-fsa. Il ruolo admin-no-fsa concede privilegi a livello di amministratore ma impedisce all'utente di eseguire operazioni relative all'endpoint files (cioè File System Analytics) nella ONTAP CLI, nell'ONTAP REST API e in System Manager.

Per ulteriori informazioni su admin-no-fsa ruolo, fare riferimento a. Ruoli predefiniti per gli amministratori del cluster.

Se si utilizza una versione di ONTAP rilasciata prima di ONTAP 9.12.1, sarà necessario creare un ruolo dedicato per controllare l'accesso all'analisi del file system. Nelle versioni di ONTAP precedenti a ONTAP 9.12.1, è necessario configurare le autorizzazioni RBAC tramite l'interfaccia CLI di ONTAP o l'API REST di ONTAP.

System Manager

A partire da ONTAP 9.12.1, puoi configurare i permessi RBAC per file System Analytics usando System Manager.

Fasi
  1. Selezionare Cluster > Settings (cluster > Impostazioni). In sicurezza, accedere a utenti e ruoli e selezionare Icona a forma di freccia.

  2. In ruoli, selezionare Icona Add (Aggiungi).

  3. Fornire un nome per il ruolo. Nella sezione attributi ruolo, configurare l'accesso o le restrizioni per il ruolo utente fornendo l'appropriato "Endpoint API". Consultare la tabella seguente per i percorsi primari e secondari per configurare l'accesso o le restrizioni di file System Analytics.

    Restrizione Percorso primario Percorso secondario

    Monitoraggio delle attività sui volumi

    /api/storage/volumes

    • /:uuid/top-metrics/directories

    • /:uuid/top-metrics/files

    • /:uuid/top-metrics/clients

    • /:uuid/top-metrics/users

    Monitoraggio delle attività su SVM

    /api/svm/svms

    • /:uuid/top-metrics/directories

    • /:uuid/top-metrics/files

    • /:uuid/top-metrics/clients

    • /:uuid/top-metrics/users

    Tutte le operazioni di analisi del file system

    /api/storage/volumes

    /:uuid/files

    È possibile utilizzare /*/ Invece di un UUID per impostare la policy per tutti i volumi o le SVM all'endpoint.

    Scegliere i privilegi di accesso per ciascun endpoint.

  4. Selezionare Salva.

  5. Per assegnare il ruolo a uno o più utenti, vedere Controllare l'accesso dell'amministratore.

CLI

Se si utilizza una versione di ONTAP rilasciata prima di ONTAP 9.12.1, utilizzare l'interfaccia utente di ONTAP per creare un ruolo personalizzato.

Fasi
  1. Creare un ruolo predefinito per avere accesso a tutte le funzionalità.

    Questa operazione deve essere eseguita prima di creare un ruolo restrittivo per garantire che il ruolo sia limitato solo al monitoraggio attività:

    security login role create -cmddirname DEFAULT -access all -role storageAdmin

  2. Creare il ruolo restrittivo:

    security login role create -cmddirname "volume file show-disk-usage" -access none -role storageAdmin

  3. Autorizzare i ruoli ad accedere ai servizi Web di SVM:

    • rest Per chiamate API REST

    • security per la protezione tramite password

    • sysmgr Per l'accesso a System Manager

      vserver services web access create -vserver <svm-name> -name rest -role storageAdmin

      vserver services web access create -vserver <svm-name> -name security -role storageAdmin

    vserver services web access create -vserver <svm-name> -name sysmgr -role storageAdmin

  4. Creare un utente.

    È necessario eseguire un comando di creazione distinto per ciascuna applicazione che si desidera applicare all'utente. La chiamata a create più volte sullo stesso utente applica semplicemente tutte le applicazioni a quell'utente e non crea un nuovo utente ogni volta. Il http Il parametro per il tipo di applicazione si applica all'API REST di ONTAP e al Gestore di sistema.

    security login create -user-or-group-name storageUser -authentication-method password -application http -role storageAdmin

  5. Con le nuove credenziali utente, è ora possibile accedere a Gestore di sistema o utilizzare l'API REST di ONTAP per accedere ai dati di analisi dei file system.