Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Gestire le regole operative protette

Collaboratori
PDF

Si creano regole di verifica multi-amministratore (MAV) per designare le operazioni che richiedono l'approvazione. Ogni volta che viene avviata un'operazione, le operazioni protette vengono intercettate e viene generata una richiesta di approvazione.

Le regole possono essere create prima di abilitare MAV da qualsiasi amministratore con funzionalità RBAC appropriate, ma una volta attivata la MAV, qualsiasi modifica al set di regole richiede l'approvazione MAV.

È possibile creare una sola regola MAV per operazione; ad esempio, non è possibile creare più regole volume-snapshot-delete regole. Tutti i vincoli di regola desiderati devono essere contenuti all'interno di una regola.

È possibile creare regole da proteggere "sono disponibili". È possibile proteggere ogni comando a partire dalla versione di ONTAP in cui era disponibile per la prima volta una funzionalità di protezione per il comando.

Le regole per i comandi MAV di default del sistema, il security multi-admin-verify "comandi", non può essere modificato.

Oltre alle operazioni definite dal sistema, i seguenti comandi sono protetti per impostazione predefinita quando è attivata la verifica multi-admin, ma è possibile modificare le regole per rimuovere la protezione per questi comandi.

  • security login password

  • security login unlock

  • set

Vincoli della regola

Quando si crea una regola, è possibile specificare il -query opzione per limitare la richiesta a un sottoinsieme della funzionalità del comando. Il -query Può essere utilizzata anche per limitare gli elementi di configurazione, come SVM, volume e nomi delle Snapshot.

Ad esempio, in volume snapshot delete comando, -query può essere impostato su -snapshot !hourly*,!daily*,!weekly*, Ovvero, le istantanee del volume con attributi orari, giornalieri o settimanali sono escluse dalle protezioni MAV.

smci-vsim20::> security multi-admin-verify rule show
                                               Required  Approval
Vserver Operation                              Approvers Groups
------- -------------------------------------- --------- -------------
vs01    volume snapshot delete                 -         -
          Query: -snapshot !hourly*,!daily*,!weekly*
Nota Tutti gli elementi di configurazione esclusi non sono protetti da MAV e qualsiasi amministratore può eliminarli o rinominarli.

Per impostazione predefinita, le regole specificano un corrispondente security multi-admin-verify request create “protected_operation” il comando viene generato automaticamente quando si inserisce un'operazione protetta. È possibile modificare questa impostazione predefinita in modo che richieda request create il comando deve essere immesso separatamente.

Per impostazione predefinita, le regole ereditano le seguenti impostazioni MAV globali, anche se è possibile specificare eccezioni specifiche della regola:

  • Numero richiesto di approvatori

  • Gruppi di approvazione

  • Periodo di scadenza dell'approvazione

  • Periodo di scadenza dell'esecuzione

Procedura di System Manager

Se si desidera aggiungere una regola operativa protetta per la prima volta, consultare la procedura di System Manager in "attiva la verifica multi-admin."

Per modificare il set di regole esistente:

  1. Selezionare Cluster > Settings (cluster > Impostazioni).

  2. Selezionare Icona delle azioni accanto a Multi-Admin Approval nella sezione Security.

  3. Selezionare Icona Add (Aggiungi) per aggiungere almeno una regola; è anche possibile modificare o eliminare le regole esistenti.

    • Operation (funzionamento) – selezionare un comando supportato dall'elenco.

    • Query - immettere le opzioni e i valori dei comandi desiderati.

    • Parametri facoltativi: Lasciare vuoto per applicare le impostazioni globali o assegnare un valore diverso per regole specifiche per sostituire le impostazioni globali.

      • Numero richiesto di responsabili dell'approvazione

      • Gruppi di approvazione

Procedura CLI

Nota Tutto security multi-admin-verify rule I comandi richiedono l'approvazione dell'amministratore MAV prima dell'esecuzione tranne security multi-admin-verify rule show.
Se si desidera… Immettere questo comando

Creare una regola

security multi-admin-verify rule create -operation “protected_operation” [-query operation_subset] [parameters]

Modificare le credenziali degli amministratori correnti

security login modify <parameters>

Esempio: La seguente regola richiede l'approvazione per eliminare il volume root.

security multi-admin-verify rule create -operation "volume delete" -query "-vserver vs0"

Modificare una regola

security multi-admin-verify rule modify -operation “protected_operation” [parameters]

Eliminare una regola

security multi-admin-verify rule delete -operation “protected_operation”

Mostra regole

security multi-admin-verify rule show

Per informazioni dettagliate sulla sintassi dei comandi, vedere security multi-admin-verify rule pagine man.