Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Gestisci regole di verifica con amministratori multipli per operazioni protette in ONTAP

Collaboratori netapp-dbagwell netapp-aaron-holt netapp-forry netapp-aoife netapp-bhouser netapp-ahibbard netapp-lenida
PDF

Si creano regole di verifica multi-amministratore (MAV) per designare le operazioni che richiedono l'approvazione. Ogni volta che viene avviata un'operazione, le operazioni protette vengono intercettate e viene generata una richiesta di approvazione.

Le regole possono essere create prima di abilitare MAV da qualsiasi amministratore con funzionalità RBAC appropriate, ma una volta attivata la MAV, qualsiasi modifica al set di regole richiede l'approvazione MAV.

È possibile creare una sola regola MAV per operazione; ad esempio, non è possibile creare più regole volume-snapshot-delete regole. Tutti i vincoli di regola desiderati devono essere contenuti all'interno di una regola.

È possibile creare regole da proteggere "sono disponibili". È possibile proteggere ogni comando a partire dalla versione di ONTAP in cui era disponibile per la prima volta una funzionalità di protezione per il comando.

Le regole per i comandi MAV di default del sistema, il security multi-admin-verify "comandi", non può essere modificato.

Oltre alle operazioni definite dal sistema, i seguenti comandi sono protetti per impostazione predefinita quando è abilitata la verifica multi-amministratore, ma è possibile modificare le regole per rimuovere la protezione per questi comandi:

Vincoli della regola

Quando si crea una regola, è possibile specificare facoltativamente l' -query`opzione per limitare la richiesta a un sottoinsieme della funzionalità del comando. Questa `-query opzione può essere utilizzata anche per limitare gli elementi di configurazione, come SVM, volume e nomi delle snapshot.

Ad esempio, nel volume snapshot delete comando, -query può essere impostato su -snapshot !hourly*,!daily*,!weekly*, il che significa che gli snapshot di volume con attributi orari, giornalieri o settimanali sono esclusi dalle protezioni MAV.

smci-vsim20::> security multi-admin-verify rule show
                                               Required  Approval
Vserver Operation                              Approvers Groups
------- -------------------------------------- --------- -------------
vs01    volume snapshot delete                 -         -
          Query: -snapshot !hourly*,!daily*,!weekly*
Nota Tutti gli elementi di configurazione esclusi non sono protetti da MAV e qualsiasi amministratore può eliminarli o rinominarli.

Per impostazione predefinita, le regole specificano che un comando corrispondente viene generato automaticamente quando si inserisce un security multi-admin-verify request create "protected_operation"'operazione protetta. È possibile modificare questo valore predefinito per richiedere che il `request create comando venga immesso separatamente.

Per impostazione predefinita, le regole ereditano le seguenti impostazioni MAV globali, anche se è possibile specificare eccezioni specifiche della regola:

  • Numero richiesto di approvatori

  • Gruppi di approvazione

  • Periodo di scadenza dell'approvazione

  • Periodo di scadenza dell'esecuzione

Procedura di System Manager

Se si desidera aggiungere una regola operativa protetta per la prima volta, consultare la procedura di System Manager in "attiva la verifica multi-admin."

Per modificare il set di regole esistente:

  1. Selezionare Cluster > Settings (cluster > Impostazioni).

  2. Selezionare Icona delle azioni accanto a Multi-Admin Approval nella sezione Security.

  3. Selezionare Icona Add (Aggiungi) per aggiungere almeno una regola; è anche possibile modificare o eliminare le regole esistenti.

    • Operation (funzionamento) – selezionare un comando supportato dall'elenco.

    • Query - immettere le opzioni e i valori dei comandi desiderati.

    • Parametri facoltativi: Lasciare vuoto per applicare le impostazioni globali o assegnare un valore diverso per regole specifiche per sostituire le impostazioni globali.

      • Numero richiesto di responsabili dell'approvazione

      • Gruppi di approvazione

Procedura CLI

Nota Tutto security multi-admin-verify rule I comandi richiedono l'approvazione dell'amministratore MAV prima dell'esecuzione tranne security multi-admin-verify rule show.
Se si desidera… Immettere questo comando

Creare una regola

security multi-admin-verify rule create -operation "protected_operation" [-query operation_subset] [parameters]

Modificare le credenziali degli amministratori correnti

security login modify <parameters>

Esempio: La seguente regola richiede l'approvazione per eliminare il volume root.

security multi-admin-verify rule create -operation "volume delete" -query "-vserver vs0"

Modificare una regola

security multi-admin-verify rule modify -operation "protected_operation" [parameters]

Eliminare una regola

security multi-admin-verify rule delete -operation "protected_operation"

Mostra regole

security multi-admin-verify rule show
Informazioni correlate