Skip to main content
SnapCenter software
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Role-based access control in SnapCenter

Collaboratori netapp-soumikd

Le autorizzazioni RBAC (Role-Based Access Control) e ONTAP di SnapCenter consentono agli amministratori di SnapCenter di delegare il controllo delle risorse SnapCenter a diversi utenti o gruppi di utenti. Questo accesso gestito centralmente consente agli amministratori delle applicazioni di lavorare in modo sicuro all'interno degli ambienti delegati.

È possibile creare e modificare ruoli e aggiungere accesso alle risorse agli utenti in qualsiasi momento. Tuttavia, quando si imposta SnapCenter per la prima volta, è necessario aggiungere almeno utenti o gruppi di Active Directory ai ruoli e quindi aggiungere l'accesso alle risorse a tali utenti o gruppi.

Nota Non è possibile utilizzare SnapCenter per creare account utente o di gruppo. È necessario creare account utente o di gruppo in Active Directory del sistema operativo o del database.

Tipi di RBAC in SnapCenter

SnapCenter utilizza i seguenti tipi di controllo degli accessi in base al ruolo:

  • SnapCenter RBAC

  • RBAC a livello applicativo

  • Plug-in SnapCenter per VMware vSphere RBAC

  • Permessi ONTAP

SnapCenter RBAC

SnapCenter dispone di ruoli predefiniti ed è possibile assegnare utenti o gruppi di utenti a tali ruoli. I ruoli predefiniti sono:

  • Ruolo di amministratore di SnapCenter

  • Backup dell'app e ruolo di amministratore del clone

  • Ruolo di Backup e Clone Viewer

  • Ruolo di amministratore dell'infrastruttura

Quando si assegna un ruolo a un utente, solo i lavori rilevanti per tale utente sono visibili nella pagina lavori a meno che non sia stato assegnato il ruolo SnapCenterAdmin.

È inoltre possibile creare nuovi ruoli e gestire autorizzazioni e utenti. È possibile assegnare autorizzazioni a utenti o gruppi per accedere a oggetti SnapCenter come host, connessioni di storage e gruppi di risorse.

È possibile assegnare le autorizzazioni RBAC a utenti e gruppi all'interno della stessa foresta e a utenti appartenenti a foreste diverse. Non è possibile assegnare autorizzazioni RBAC agli utenti appartenenti a gruppi nidificati tra foreste.

Nota Se si crea un ruolo personalizzato, deve contenere tutte le autorizzazioni del ruolo SnapCenterAdmin. Se si copiano solo alcune delle autorizzazioni, ad esempio aggiunta host o rimozione host, non è possibile eseguire tali operazioni.

Gli utenti devono fornire l'autenticazione durante l'accesso, tramite l'interfaccia grafica utente (GUI) o utilizzando i cmdlet PowerShell. Se gli utenti sono membri di più ruoli, dopo aver immesso le credenziali di accesso, viene richiesto di specificare il ruolo che si desidera utilizzare. Gli utenti devono inoltre fornire l'autenticazione per eseguire le API.

RBAC a livello applicativo

SnapCenter utilizza le credenziali per verificare che gli utenti SnapCenter autorizzati dispongano anche delle autorizzazioni a livello di applicazione.

Ad esempio, se si desidera eseguire operazioni di protezione dei dati in un ambiente SQL Server, è necessario impostare le credenziali con le credenziali Windows o SQL appropriate. Il server SnapCenter autentica il set di credenziali utilizzando uno dei due metodi. Per eseguire operazioni di protezione dei dati in un ambiente file system Windows sullo storage ONTAP, il ruolo di amministratore del SnapCenter deve disporre di admin Privileges sull'host Windows.

Allo stesso modo, se si desidera eseguire operazioni di protezione dei dati su un database Oracle e se l'autenticazione del sistema operativo (OS) è disattivata nell'host del database, è necessario impostare le credenziali con il database Oracle o con le credenziali ASM Oracle. Il server SnapCenter autentica il set di credenziali utilizzando uno di questi metodi, a seconda dell'operazione.

Plug-in SnapCenter per VMware vSphere RBAC

Se si utilizza il plug-in VMware di SnapCenter per la protezione dei dati coerente con le macchine virtuali, il server vCenter fornisce un livello aggiuntivo di RBAC. Il plug-in SnapCenter VMware supporta sia vCenter Server RBAC che ONTAP RBAC. "Scopri di più"

Best practice: NetApp consiglia di creare un ruolo ONTAP per il plug-in SnapCenter per le operazioni VMware vSphere e assegnargli tutti i privilegi richiesti.

Permessi ONTAP

Creare un account vsadmin con le autorizzazioni necessarie per accedere al sistema storage. "Scopri di più"

Autorizzazioni assegnate ai ruoli SnapCenter predefiniti

Quando si aggiunge un utente a un ruolo, è necessario assegnare l'autorizzazione StorageConnection per abilitare la comunicazione SVM (Storage Virtual Machine) o assegnare una SVM all'utente per abilitare l'autorizzazione all'utilizzo di SVM. L'autorizzazione connessione storage consente agli utenti di creare connessioni SVM.

Ad esempio, un utente con il ruolo di amministratore SnapCenter può creare connessioni SVM e assegnarle a un utente con il ruolo di backup dell'applicazione e amministratore clone, che per impostazione predefinita non dispone dell'autorizzazione per creare o modificare connessioni SVM. Senza una connessione SVM, gli utenti non possono completare alcuna operazione di backup, clonazione o ripristino.

Ruolo di amministratore di SnapCenter

Il ruolo di amministratore di SnapCenter ha tutte le autorizzazioni attivate. Non è possibile modificare le autorizzazioni per questo ruolo. È possibile aggiungere utenti e gruppi al ruolo o rimuoverli.

Backup dell'app e ruolo di amministratore del clone

Il ruolo App Backup and Clone Admin dispone delle autorizzazioni necessarie per eseguire azioni amministrative per i backup delle applicazioni e le attività correlate ai cloni. Questo ruolo non dispone di autorizzazioni per la gestione degli host, il provisioning, la gestione della connessione dello storage o l'installazione remota.

Permessi Attivato Creare Leggi Aggiornare Eliminare

Gruppo di risorse

Non applicabile

Policy

Non applicabile

Backup

Non applicabile

Host

Non applicabile

Connessione storage

Non applicabile

No

No

No

Clonare

Non applicabile

Provisioning

Non applicabile

No

No

No

Dashboard

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Report

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Ripristinare

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Risorsa

Installazione/disinstallazione del plug-in

No

Non applicabile

Non applicabile

Non applicabile

Migrazione

No

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Montare

Non applicabile

Non applicabile

Non applicabile

Smontare

Non applicabile

Non applicabile

Non applicabile

Ripristino completo del volume

No

No

Non applicabile

Non applicabile

Non applicabile

SecondaryProtection

No

No

Non applicabile

Non applicabile

Non applicabile

Monitoraggio del processo

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Ruolo di Backup e Clone Viewer

Il ruolo Backup and Clone Viewer (Visualizzatore di backup e clonazione) dispone di una vista in sola lettura di tutte le autorizzazioni. Questo ruolo dispone anche di autorizzazioni abilitate per il rilevamento, la creazione di report e l'accesso al dashboard.

Permessi Attivato Creare Leggi Aggiornare Eliminare

Gruppo di risorse

Non applicabile

No

No

No

Policy

Non applicabile

No

No

No

Backup

Non applicabile

No

No

No

Host

Non applicabile

No

No

No

Connessione storage

Non applicabile

No

No

No

Clonare

Non applicabile

No

No

No

Provisioning

Non applicabile

No

No

No

Dashboard

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Report

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Ripristinare

No

No

Non applicabile

Non applicabile

Non applicabile

Risorsa

No

No

No

Installazione/disinstallazione del plug-in

No

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Migrazione

No

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Montare

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Smontare

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Ripristino completo del volume

No

Non applicabile

Non applicabile

Non applicabile

Non applicabile

SecondaryProtection

No

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Monitoraggio del processo

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Ruolo di amministratore dell'infrastruttura

Il ruolo Infrastructure Admin (Amministratore dell'infrastruttura) dispone di autorizzazioni abilitate per la gestione degli host, la gestione dello storage, il provisioning, i gruppi di risorse, i report di installazione remota, E l'accesso alla dashboard.

Permessi Attivato Creare Leggi Aggiornare Eliminare

Gruppo di risorse

Non applicabile

Policy

Non applicabile

No

Backup

Non applicabile

Host

Non applicabile

Connessione storage

Non applicabile

Clonare

Non applicabile

No

No

No

Provisioning

Non applicabile

Dashboard

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Report

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Ripristinare

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Risorsa

Installazione/disinstallazione del plug-in

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Migrazione

No

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Montare

No

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Smontare

No

Non applicabile

Non applicabile

Non applicabile

Non applicabile

Ripristino completo del volume

No

No

Non applicabile

Non applicabile

Non applicabile

SecondaryProtection

No

No

Non applicabile

Non applicabile

Non applicabile

Monitoraggio del processo

Non applicabile

Non applicabile

Non applicabile

Non applicabile