Gestire le regole operative protette
-
PDF del sito di questa documentazione
- Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
- Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
Gestione dello storage logico con la CLI
-
Gestione dello storage NAS
- Configurare NFS con la CLI
- Gestisci NFS con la CLI
-
Gestire SMB con la CLI
- Gestire i server SMB
- Gestire l'accesso ai file utilizzando SMB
- Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
- Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
-
Protezione dei dati e disaster recovery
- Protezione dei dati con la CLI
Raccolta di documenti PDF separati
Creating your file...
Si creano regole di verifica multi-amministratore (MAV) per designare le operazioni che richiedono l'approvazione. Ogni volta che viene avviata un'operazione, le operazioni protette vengono intercettate e viene generata una richiesta di approvazione.
Le regole possono essere create prima di abilitare MAV da qualsiasi amministratore con funzionalità RBAC appropriate, ma una volta attivata la MAV, qualsiasi modifica al set di regole richiede l'approvazione MAV.
È possibile creare una sola regola MAV per operazione; ad esempio, non è possibile creare più regole volume-snapshot-delete
regole. Tutti i vincoli di regola desiderati devono essere contenuti all'interno di una regola.
Comandi protetti da regole
È possibile creare regole per proteggere i seguenti comandi, a partire da ONTAP 9.11.1.
|
|
È possibile creare regole per proteggere i seguenti comandi a partire da ONTAP 9.13.1:
-
volume snaplock modify
-
security anti-ransomware volume attack clear-suspect
-
security anti-ransomware volume disable
-
security anti-ransomware volume pause
È possibile creare regole per proteggere i seguenti comandi a partire da ONTAP 9.14.1:
-
volume recovery-queue modify
-
volume recovery-queue purge
-
volume recovery-queue purge-all
-
vserver modify
Le regole per i comandi MAV di default del sistema, il security multi-admin-verify
"comandi", non può essere modificato.
Oltre ai comandi definiti dal sistema, i seguenti comandi sono protetti per impostazione predefinita quando è attivata la verifica multi-admin, ma è possibile modificare le regole per rimuovere la protezione per questi comandi.
-
security login password
-
security login unlock
-
set
Vincoli della regola
Quando si crea una regola, è possibile specificare il -query
opzione per limitare la richiesta a un sottoinsieme della funzionalità del comando. Il -query
Può essere utilizzata anche per limitare gli elementi di configurazione, come SVM, volume e nomi delle Snapshot.
Ad esempio, in volume snapshot delete
comando, -query
può essere impostato su -snapshot !hourly*,!daily*,!weekly*
, Ovvero, le istantanee del volume con attributi orari, giornalieri o settimanali sono escluse dalle protezioni MAV.
smci-vsim20::> security multi-admin-verify rule show Required Approval Vserver Operation Approvers Groups ------- -------------------------------------- --------- ------------- vs01 volume snapshot delete - - Query: -snapshot !hourly*,!daily*,!weekly*
Tutti gli elementi di configurazione esclusi non sono protetti da MAV e qualsiasi amministratore può eliminarli o rinominarli. |
Per impostazione predefinita, le regole specificano un corrispondente security multi-admin-verify request create “protected_operation”
il comando viene generato automaticamente quando si inserisce un'operazione protetta. È possibile modificare questa impostazione predefinita in modo che richieda request create
il comando deve essere immesso separatamente.
Per impostazione predefinita, le regole ereditano le seguenti impostazioni MAV globali, anche se è possibile specificare eccezioni specifiche della regola:
-
Numero richiesto di approvatori
-
Gruppi di approvazione
-
Periodo di scadenza dell'approvazione
-
Periodo di scadenza dell'esecuzione
Procedura di System Manager
Se si desidera aggiungere una regola operativa protetta per la prima volta, consultare la procedura di System Manager in "attiva la verifica multi-admin."
Per modificare il set di regole esistente:
-
Selezionare Cluster > Settings (cluster > Impostazioni).
-
Selezionare Accanto a approvazione multi-amministratore nella sezione sicurezza.
-
Selezionare per aggiungere almeno una regola, è anche possibile modificare o eliminare le regole esistenti.
-
Operation (funzionamento) – selezionare un comando supportato dall'elenco.
-
Query - immettere le opzioni e i valori dei comandi desiderati.
-
Parametri facoltativi: Lasciare vuoto per applicare le impostazioni globali o assegnare un valore diverso per regole specifiche per sostituire le impostazioni globali.
-
Numero richiesto di responsabili dell'approvazione
-
Gruppi di approvazione
-
-
Procedura CLI
Tutto security multi-admin-verify rule I comandi richiedono l'approvazione dell'amministratore MAV prima dell'esecuzione tranne security multi-admin-verify rule show .
|
Se si desidera… | Immettere questo comando |
---|---|
Creare una regola |
|
Modificare le credenziali degli amministratori correnti |
Esempio: La seguente regola richiede l'approvazione per eliminare il volume root.
|
Modificare una regola |
|
Eliminare una regola |
|
Mostra regole |
|
Per informazioni dettagliate sulla sintassi dei comandi, vedere security multi-admin-verify rule
pagine man.