Role-based access control in SnapCenter
Il controllo degli accessi basato sui ruoli (RBAC) SnapCenter e le autorizzazioni ONTAP consentono agli amministratori SnapCenter di assegnare l'accesso alle risorse a utenti o gruppi. Questo accesso gestito centralmente consente agli amministratori delle applicazioni di lavorare in modo sicuro all'interno di ambienti designati.
Dovresti creare o modificare i ruoli e aggiungere l'accesso alle risorse agli utenti. Quando si configura SnapCenter per la prima volta, aggiungere utenti o gruppi di Active Directory ai ruoli e assegnare risorse a tali utenti o gruppi.
|
SnapCenter non crea account utente o di gruppo. Creare account utente o di gruppo nell'Active Directory del sistema operativo o del database. |
Tipi di RBAC in SnapCenter
SnapCenter supporta i seguenti tipi di controllo degli accessi basato sui ruoli:
-
SnapCenter RBAC
-
RBAC a livello applicativo
-
Plug-in SnapCenter per VMware vSphere RBAC
-
Permessi ONTAP
SnapCenter RBAC
SnapCenter ha ruoli predefiniti ed è possibile assegnare utenti o gruppi a questi ruoli.
-
Ruolo di amministratore di SnapCenter
-
Backup dell'app e ruolo di amministratore del clone
-
Ruolo di Backup e Clone Viewer
-
Ruolo di amministratore dell'infrastruttura
Quando si assegna un ruolo a un utente, SnapCenter visualizza i lavori pertinenti per quell'utente nella pagina Lavori, a meno che l'utente non abbia il ruolo SnapCenterAdmin.
È inoltre possibile creare nuovi ruoli e gestire autorizzazioni e utenti. È possibile assegnare autorizzazioni a utenti o gruppi per accedere a oggetti SnapCenter come host, connessioni di storage e gruppi di risorse.
È possibile assegnare le autorizzazioni RBAC a utenti e gruppi all'interno della stessa foresta e a utenti appartenenti a foreste diverse. Non è possibile assegnare autorizzazioni RBAC agli utenti appartenenti a gruppi nidificati tra foreste.
|
Quando crei un ruolo personalizzato, assicurati che includa tutte le autorizzazioni del ruolo SnapCenterAdmin. Se si copiano solo alcune autorizzazioni, SnapCenter impedisce di eseguire tutte le operazioni. |
Gli utenti devono autenticarsi quando accedono tramite l'interfaccia utente o i cmdlet di PowerShell. Se gli utenti hanno più ruoli, ne selezionano uno dopo aver effettuato l'accesso. L'autenticazione è richiesta anche per eseguire le API.
RBAC a livello applicativo
SnapCenter utilizza le credenziali per verificare che gli utenti SnapCenter autorizzati dispongano anche delle autorizzazioni a livello di applicazione.
Ad esempio, per eseguire operazioni di protezione dei dati in un ambiente SQL Server, impostare le credenziali Windows o SQL corrette. Se si desidera eseguire operazioni di protezione dei dati in un ambiente file system Windows su un archivio ONTAP , il ruolo di amministratore SnapCenter deve disporre di privilegi di amministratore sull'host Windows.
Allo stesso modo, se si desidera eseguire operazioni di protezione dei dati su un database Oracle e se l'autenticazione del sistema operativo (SO) è disabilitata sull'host del database, è necessario impostare le credenziali con il database Oracle o con le credenziali Oracle ASM. Il server SnapCenter autentica le credenziali impostate utilizzando uno di questi metodi, a seconda dell'operazione.
Plug-in SnapCenter per VMware vSphere RBAC
Se si utilizza il plug-in VMware di SnapCenter per la protezione dei dati coerente con le macchine virtuali, il server vCenter fornisce un livello aggiuntivo di RBAC. Il plug-in SnapCenter VMware supporta sia vCenter Server RBAC che ONTAP RBAC. "Scopri di più"
NOTA: NetApp consiglia di creare un ruolo ONTAP per il SnapCenter Plug-in for VMware vSphere e di assegnargli tutti i privilegi richiesti.
Permessi ONTAP
È necessario creare un account vsadmin con le autorizzazioni necessarie per accedere al sistema di archiviazione."Scopri di più"
Autorizzazioni assegnate ai ruoli SnapCenter predefiniti
Quando si aggiunge un utente a un ruolo, assegnare l'autorizzazione StorageConnection per abilitare la comunicazione con la macchina virtuale di archiviazione (SVM) oppure assegnare una SVM all'utente per concedere l'autorizzazione a utilizzare la SVM. L'autorizzazione Connessione di archiviazione consente agli utenti di creare connessioni SVM.
Ad esempio, un amministratore SnapCenter può creare connessioni SVM e assegnarle agli utenti App Backup e Clone Admin, che non possono creare o modificare connessioni SVM. Senza una connessione SVM, gli utenti non possono eseguire operazioni di backup, clonazione o ripristino.
Ruolo di amministratore di SnapCenter
Il ruolo di amministratore di SnapCenter ha tutte le autorizzazioni attivate. Non è possibile modificare le autorizzazioni per questo ruolo. È possibile aggiungere utenti e gruppi al ruolo o rimuoverli.
Backup dell'app e ruolo di amministratore del clone
Il ruolo App Backup and Clone Admin dispone delle autorizzazioni necessarie per eseguire azioni amministrative per i backup delle applicazioni e le attività correlate ai cloni. Questo ruolo non dispone di autorizzazioni per la gestione degli host, il provisioning, la gestione della connessione dello storage o l'installazione remota.
Permessi | Attivato | Creare | Leggi | Aggiornare | Eliminare |
---|---|---|---|---|---|
Gruppo di risorse |
Non applicabile |
Sì |
Sì |
Sì |
Sì |
Policy |
Non applicabile |
Sì |
Sì |
Sì |
Sì |
Backup |
Non applicabile |
Sì |
Sì |
Sì |
Sì |
Host |
Non applicabile |
Sì |
Sì |
Sì |
Sì |
Connessione storage |
Non applicabile |
No |
Sì |
No |
No |
Clonare |
Non applicabile |
Sì |
Sì |
Sì |
Sì |
Provisioning |
Non applicabile |
No |
Sì |
No |
No |
Dashboard |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Report |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Ripristinare |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Risorsa |
Sì |
Sì |
Sì |
Sì |
Sì |
Installazione/disinstallazione del plug-in |
No |
Non applicabile |
Non applicabile |
Non applicabile |
|
Migrazione |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Montare |
Sì |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Smontare |
Sì |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Ripristino completo del volume |
No |
No |
Non applicabile |
Non applicabile |
Non applicabile |
SecondaryProtection |
No |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Monitoraggio del processo |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Ruolo di Backup e Clone Viewer
Il ruolo di Visualizzatore backup e clonazione ha la visualizzazione di sola lettura di tutte le autorizzazioni. Questo ruolo dispone anche di autorizzazioni abilitate per la scoperta, la creazione di report e l'accesso alla Dashboard.
Permessi | Attivato | Creare | Leggi | Aggiornare | Eliminare |
---|---|---|---|---|---|
Gruppo di risorse |
Non applicabile |
No |
Sì |
No |
No |
Policy |
Non applicabile |
No |
Sì |
No |
No |
Backup |
Non applicabile |
No |
Sì |
No |
No |
Host |
Non applicabile |
No |
Sì |
No |
No |
Connessione storage |
Non applicabile |
No |
Sì |
No |
No |
Clonare |
Non applicabile |
No |
Sì |
No |
No |
Provisioning |
Non applicabile |
No |
Sì |
No |
No |
Dashboard |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Report |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Ripristinare |
No |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Risorsa |
No |
No |
Sì |
Sì |
No |
Installazione/disinstallazione del plug-in |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Migrazione |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Montare |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Smontare |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Ripristino completo del volume |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
SecondaryProtection |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Monitoraggio del processo |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Ruolo di amministratore dell'infrastruttura
Il ruolo Infrastructure Admin (Amministratore dell'infrastruttura) dispone di autorizzazioni abilitate per la gestione degli host, la gestione dello storage, il provisioning, i gruppi di risorse, i report di installazione remota, E l'accesso alla dashboard.
Permessi | Attivato | Creare | Leggi | Aggiornare | Eliminare |
---|---|---|---|---|---|
Gruppo di risorse |
Non applicabile |
Sì |
Sì |
Sì |
Sì |
Policy |
Non applicabile |
No |
Sì |
Sì |
Sì |
Backup |
Non applicabile |
Sì |
Sì |
Sì |
Sì |
Host |
Non applicabile |
Sì |
Sì |
Sì |
Sì |
Connessione storage |
Non applicabile |
Sì |
Sì |
Sì |
Sì |
Clonare |
Non applicabile |
No |
Sì |
No |
No |
Provisioning |
Non applicabile |
Sì |
Sì |
Sì |
Sì |
Dashboard |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Report |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Ripristinare |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Risorsa |
Sì |
Sì |
Sì |
Sì |
Sì |
Installazione/disinstallazione del plug-in |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Migrazione |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Montare |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Smontare |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Ripristino completo del volume |
No |
No |
Non applicabile |
Non applicabile |
Non applicabile |
SecondaryProtection |
No |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Monitoraggio del processo |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |