Skip to main content
SnapCenter software
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Role-based access control in SnapCenter

Collaboratori netapp-soumikd

Il controllo degli accessi basato sui ruoli (RBAC) SnapCenter e le autorizzazioni ONTAP consentono agli amministratori SnapCenter di assegnare l'accesso alle risorse a utenti o gruppi. Questo accesso gestito centralmente consente agli amministratori delle applicazioni di lavorare in modo sicuro all'interno di ambienti designati.

Dovresti creare o modificare i ruoli e aggiungere l'accesso alle risorse agli utenti. Quando si configura SnapCenter per la prima volta, aggiungere utenti o gruppi di Active Directory ai ruoli e assegnare risorse a tali utenti o gruppi.

Nota SnapCenter non crea account utente o di gruppo. Creare account utente o di gruppo nell'Active Directory del sistema operativo o del database.

Tipi di RBAC in SnapCenter

SnapCenter supporta i seguenti tipi di controllo degli accessi basato sui ruoli:

  • SnapCenter RBAC

  • RBAC a livello applicativo

  • Plug-in SnapCenter per VMware vSphere RBAC

  • Permessi ONTAP

SnapCenter RBAC

SnapCenter ha ruoli predefiniti ed è possibile assegnare utenti o gruppi a questi ruoli.

  • Ruolo di amministratore di SnapCenter

  • Backup dell'app e ruolo di amministratore del clone

  • Ruolo di Backup e Clone Viewer

  • Ruolo di amministratore dell'infrastruttura

Quando si assegna un ruolo a un utente, SnapCenter visualizza i lavori pertinenti per quell'utente nella pagina Lavori, a meno che l'utente non abbia il ruolo SnapCenterAdmin.

È inoltre possibile creare nuovi ruoli e gestire autorizzazioni e utenti. È possibile assegnare autorizzazioni a utenti o gruppi per accedere a oggetti SnapCenter come host, connessioni di storage e gruppi di risorse.

È possibile assegnare le autorizzazioni RBAC a utenti e gruppi all'interno della stessa foresta e a utenti appartenenti a foreste diverse. Non è possibile assegnare autorizzazioni RBAC agli utenti appartenenti a gruppi nidificati tra foreste.

Nota Quando crei un ruolo personalizzato, assicurati che includa tutte le autorizzazioni del ruolo SnapCenterAdmin. Se si copiano solo alcune autorizzazioni, SnapCenter impedisce di eseguire tutte le operazioni.

Gli utenti devono autenticarsi quando accedono tramite l'interfaccia utente o i cmdlet di PowerShell. Se gli utenti hanno più ruoli, ne selezionano uno dopo aver effettuato l'accesso. L'autenticazione è richiesta anche per eseguire le API.

RBAC a livello applicativo

SnapCenter utilizza le credenziali per verificare che gli utenti SnapCenter autorizzati dispongano anche delle autorizzazioni a livello di applicazione.

Ad esempio, per eseguire operazioni di protezione dei dati in un ambiente SQL Server, impostare le credenziali Windows o SQL corrette. Se si desidera eseguire operazioni di protezione dei dati in un ambiente file system Windows su un archivio ONTAP , il ruolo di amministratore SnapCenter deve disporre di privilegi di amministratore sull'host Windows.

Allo stesso modo, se si desidera eseguire operazioni di protezione dei dati su un database Oracle e se l'autenticazione del sistema operativo (SO) è disabilitata sull'host del database, è necessario impostare le credenziali con il database Oracle o con le credenziali Oracle ASM. Il server SnapCenter autentica le credenziali impostate utilizzando uno di questi metodi, a seconda dell'operazione.

Plug-in SnapCenter per VMware vSphere RBAC

Se si utilizza il plug-in VMware di SnapCenter per la protezione dei dati coerente con le macchine virtuali, il server vCenter fornisce un livello aggiuntivo di RBAC. Il plug-in SnapCenter VMware supporta sia vCenter Server RBAC che ONTAP RBAC. "Scopri di più"

NOTA: NetApp consiglia di creare un ruolo ONTAP per il SnapCenter Plug-in for VMware vSphere e di assegnargli tutti i privilegi richiesti.

Permessi ONTAP

È necessario creare un account vsadmin con le autorizzazioni necessarie per accedere al sistema di archiviazione."Scopri di più"

Autorizzazioni assegnate ai ruoli SnapCenter predefiniti

Quando si aggiunge un utente a un ruolo, assegnare l'autorizzazione StorageConnection per abilitare la comunicazione con la macchina virtuale di archiviazione (SVM) oppure assegnare una SVM all'utente per concedere l'autorizzazione a utilizzare la SVM. L'autorizzazione Connessione di archiviazione consente agli utenti di creare connessioni SVM.

Ad esempio, un amministratore SnapCenter può creare connessioni SVM e assegnarle agli utenti App Backup e Clone Admin, che non possono creare o modificare connessioni SVM. Senza una connessione SVM, gli utenti non possono eseguire operazioni di backup, clonazione o ripristino.

Ruolo di amministratore di SnapCenter

Il ruolo di amministratore di SnapCenter ha tutte le autorizzazioni attivate. Non è possibile modificare le autorizzazioni per questo ruolo. È possibile aggiungere utenti e gruppi al ruolo o rimuoverli.

Backup dell'app e ruolo di amministratore del clone

Il ruolo App Backup and Clone Admin dispone delle autorizzazioni necessarie per eseguire azioni amministrative per i backup delle applicazioni e le attività correlate ai cloni. Questo ruolo non dispone di autorizzazioni per la gestione degli host, il provisioning, la gestione della connessione dello storage o l'installazione remota.

Permessi Attivato Creare Leggi Aggiornare Eliminare

Gruppo di risorse

Non applicabile

Policy

Non applicabile

Backup

Non applicabile

Host

Non applicabile

Connessione storage

Non applicabile

No

No

No

Clonare

Non applicabile

Provisioning

Non applicabile

No

No

No

Dashboard

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Report

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Ripristinare

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Risorsa

Installazione/disinstallazione del plug-in

No

Non applicabile

Non applicabile

Non applicabile

Migrazione

No

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Montare

Non applicabile

Non applicabile

Non applicabile

Smontare

Non applicabile

Non applicabile

Non applicabile

Ripristino completo del volume

No

No

Non applicabile

Non applicabile

Non applicabile

SecondaryProtection

No

No

Non applicabile

Non applicabile

Non applicabile

Monitoraggio del processo

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Ruolo di Backup e Clone Viewer

Il ruolo di Visualizzatore backup e clonazione ha la visualizzazione di sola lettura di tutte le autorizzazioni. Questo ruolo dispone anche di autorizzazioni abilitate per la scoperta, la creazione di report e l'accesso alla Dashboard.

Permessi Attivato Creare Leggi Aggiornare Eliminare

Gruppo di risorse

Non applicabile

No

No

No

Policy

Non applicabile

No

No

No

Backup

Non applicabile

No

No

No

Host

Non applicabile

No

No

No

Connessione storage

Non applicabile

No

No

No

Clonare

Non applicabile

No

No

No

Provisioning

Non applicabile

No

No

No

Dashboard

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Report

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Ripristinare

No

No

Non applicabile

Non applicabile

Non applicabile

Risorsa

No

No

No

Installazione/disinstallazione del plug-in

No

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Migrazione

No

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Montare

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Smontare

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Ripristino completo del volume

No

Non applicabile

Non applicabile

Non applicabile

Non applicabile

SecondaryProtection

No

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Monitoraggio del processo

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Ruolo di amministratore dell'infrastruttura

Il ruolo Infrastructure Admin (Amministratore dell'infrastruttura) dispone di autorizzazioni abilitate per la gestione degli host, la gestione dello storage, il provisioning, i gruppi di risorse, i report di installazione remota, E l'accesso alla dashboard.

Permessi Attivato Creare Leggi Aggiornare Eliminare

Gruppo di risorse

Non applicabile

Policy

Non applicabile

No

Backup

Non applicabile

Host

Non applicabile

Connessione storage

Non applicabile

Clonare

Non applicabile

No

No

No

Provisioning

Non applicabile

Dashboard

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Report

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Ripristinare

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Risorsa

Installazione/disinstallazione del plug-in

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Migrazione

No

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Montare

No

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Smontare

No

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Ripristino completo del volume

No

No

Non applicabile

Non applicabile

Non applicabile

SecondaryProtection

No

No

Non applicabile

Non applicabile

Non applicabile

Monitoraggio del processo

Non applicabile

Non applicabile

Non applicabile

Non applicabile