Role-based access control in SnapCenter
Le autorizzazioni RBAC (Role-Based Access Control) e ONTAP di SnapCenter consentono agli amministratori di SnapCenter di delegare il controllo delle risorse SnapCenter a diversi utenti o gruppi di utenti. Questo accesso gestito centralmente consente agli amministratori delle applicazioni di lavorare in modo sicuro all'interno degli ambienti delegati.
È possibile creare e modificare ruoli e aggiungere accesso alle risorse agli utenti in qualsiasi momento. Tuttavia, quando si imposta SnapCenter per la prima volta, è necessario aggiungere almeno utenti o gruppi di Active Directory ai ruoli e quindi aggiungere l'accesso alle risorse a tali utenti o gruppi.
|
Non è possibile utilizzare SnapCenter per creare account utente o di gruppo. È necessario creare account utente o di gruppo in Active Directory del sistema operativo o del database. |
Tipi di RBAC in SnapCenter
SnapCenter utilizza i seguenti tipi di controllo degli accessi in base al ruolo:
-
SnapCenter RBAC
-
RBAC a livello applicativo
-
Plug-in SnapCenter per VMware vSphere RBAC
-
Permessi ONTAP
SnapCenter RBAC
SnapCenter dispone di ruoli predefiniti ed è possibile assegnare utenti o gruppi di utenti a tali ruoli. I ruoli predefiniti sono:
-
Ruolo di amministratore di SnapCenter
-
Backup dell'app e ruolo di amministratore del clone
-
Ruolo di Backup e Clone Viewer
-
Ruolo di amministratore dell'infrastruttura
Quando si assegna un ruolo a un utente, solo i lavori rilevanti per tale utente sono visibili nella pagina lavori a meno che non sia stato assegnato il ruolo SnapCenterAdmin.
È inoltre possibile creare nuovi ruoli e gestire autorizzazioni e utenti. È possibile assegnare autorizzazioni a utenti o gruppi per accedere a oggetti SnapCenter come host, connessioni di storage e gruppi di risorse.
È possibile assegnare le autorizzazioni RBAC a utenti e gruppi all'interno della stessa foresta e a utenti appartenenti a foreste diverse. Non è possibile assegnare autorizzazioni RBAC agli utenti appartenenti a gruppi nidificati tra foreste.
|
Se si crea un ruolo personalizzato, deve contenere tutte le autorizzazioni del ruolo SnapCenterAdmin. Se si copiano solo alcune delle autorizzazioni, ad esempio aggiunta host o rimozione host, non è possibile eseguire tali operazioni. |
Gli utenti devono fornire l'autenticazione durante l'accesso, tramite l'interfaccia grafica utente (GUI) o utilizzando i cmdlet PowerShell. Se gli utenti sono membri di più ruoli, dopo aver immesso le credenziali di accesso, viene richiesto di specificare il ruolo che si desidera utilizzare. Gli utenti devono inoltre fornire l'autenticazione per eseguire le API.
RBAC a livello applicativo
SnapCenter utilizza le credenziali per verificare che gli utenti SnapCenter autorizzati dispongano anche delle autorizzazioni a livello di applicazione.
Ad esempio, se si desidera eseguire operazioni di protezione dei dati in un ambiente SQL Server, è necessario impostare le credenziali con le credenziali Windows o SQL appropriate. Il server SnapCenter autentica il set di credenziali utilizzando uno dei due metodi. Per eseguire operazioni di protezione dei dati in un ambiente file system Windows sullo storage ONTAP, il ruolo di amministratore del SnapCenter deve disporre di admin Privileges sull'host Windows.
Allo stesso modo, se si desidera eseguire operazioni di protezione dei dati su un database Oracle e se l'autenticazione del sistema operativo (OS) è disattivata nell'host del database, è necessario impostare le credenziali con il database Oracle o con le credenziali ASM Oracle. Il server SnapCenter autentica il set di credenziali utilizzando uno di questi metodi, a seconda dell'operazione.
Plug-in SnapCenter per VMware vSphere RBAC
Se si utilizza il plug-in VMware di SnapCenter per la protezione dei dati coerente con le macchine virtuali, il server vCenter fornisce un livello aggiuntivo di RBAC. Il plug-in SnapCenter VMware supporta sia vCenter Server RBAC che ONTAP RBAC. "Scopri di più"
Best practice: NetApp consiglia di creare un ruolo ONTAP per il plug-in SnapCenter per le operazioni VMware vSphere e assegnargli tutti i privilegi richiesti. |
Permessi ONTAP
Creare un account vsadmin con le autorizzazioni necessarie per accedere al sistema storage. "Scopri di più"
Autorizzazioni assegnate ai ruoli SnapCenter predefiniti
Quando si aggiunge un utente a un ruolo, è necessario assegnare l'autorizzazione StorageConnection per abilitare la comunicazione SVM (Storage Virtual Machine) o assegnare una SVM all'utente per abilitare l'autorizzazione all'utilizzo di SVM. L'autorizzazione connessione storage consente agli utenti di creare connessioni SVM.
Ad esempio, un utente con il ruolo di amministratore SnapCenter può creare connessioni SVM e assegnarle a un utente con il ruolo di backup dell'applicazione e amministratore clone, che per impostazione predefinita non dispone dell'autorizzazione per creare o modificare connessioni SVM. Senza una connessione SVM, gli utenti non possono completare alcuna operazione di backup, clonazione o ripristino.
Ruolo di amministratore di SnapCenter
Il ruolo di amministratore di SnapCenter ha tutte le autorizzazioni attivate. Non è possibile modificare le autorizzazioni per questo ruolo. È possibile aggiungere utenti e gruppi al ruolo o rimuoverli.
Backup dell'app e ruolo di amministratore del clone
Il ruolo App Backup and Clone Admin dispone delle autorizzazioni necessarie per eseguire azioni amministrative per i backup delle applicazioni e le attività correlate ai cloni. Questo ruolo non dispone di autorizzazioni per la gestione degli host, il provisioning, la gestione della connessione dello storage o l'installazione remota.
Permessi | Attivato | Creare | Leggi | Aggiornare | Eliminare |
---|---|---|---|---|---|
Gruppo di risorse |
Non applicabile |
Sì |
Sì |
Sì |
Sì |
Policy |
Non applicabile |
Sì |
Sì |
Sì |
Sì |
Backup |
Non applicabile |
Sì |
Sì |
Sì |
Sì |
Host |
Non applicabile |
Sì |
Sì |
Sì |
Sì |
Connessione storage |
Non applicabile |
No |
Sì |
No |
No |
Clonare |
Non applicabile |
Sì |
Sì |
Sì |
Sì |
Provisioning |
Non applicabile |
No |
Sì |
No |
No |
Dashboard |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Report |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Ripristinare |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Risorsa |
Sì |
Sì |
Sì |
Sì |
Sì |
Installazione/disinstallazione del plug-in |
No |
Non applicabile |
Non applicabile |
Non applicabile |
|
Migrazione |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Montare |
Sì |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Smontare |
Sì |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Ripristino completo del volume |
No |
No |
Non applicabile |
Non applicabile |
Non applicabile |
SecondaryProtection |
No |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Monitoraggio del processo |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Ruolo di Backup e Clone Viewer
Il ruolo Backup and Clone Viewer (Visualizzatore di backup e clonazione) dispone di una vista in sola lettura di tutte le autorizzazioni. Questo ruolo dispone anche di autorizzazioni abilitate per il rilevamento, la creazione di report e l'accesso al dashboard.
Permessi | Attivato | Creare | Leggi | Aggiornare | Eliminare |
---|---|---|---|---|---|
Gruppo di risorse |
Non applicabile |
No |
Sì |
No |
No |
Policy |
Non applicabile |
No |
Sì |
No |
No |
Backup |
Non applicabile |
No |
Sì |
No |
No |
Host |
Non applicabile |
No |
Sì |
No |
No |
Connessione storage |
Non applicabile |
No |
Sì |
No |
No |
Clonare |
Non applicabile |
No |
Sì |
No |
No |
Provisioning |
Non applicabile |
No |
Sì |
No |
No |
Dashboard |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Report |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Ripristinare |
No |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Risorsa |
No |
No |
Sì |
Sì |
No |
Installazione/disinstallazione del plug-in |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Migrazione |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Montare |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Smontare |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Ripristino completo del volume |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
SecondaryProtection |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Monitoraggio del processo |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Ruolo di amministratore dell'infrastruttura
Il ruolo Infrastructure Admin (Amministratore dell'infrastruttura) dispone di autorizzazioni abilitate per la gestione degli host, la gestione dello storage, il provisioning, i gruppi di risorse, i report di installazione remota, E l'accesso alla dashboard.
Permessi | Attivato | Creare | Leggi | Aggiornare | Eliminare |
---|---|---|---|---|---|
Gruppo di risorse |
Non applicabile |
Sì |
Sì |
Sì |
Sì |
Policy |
Non applicabile |
No |
Sì |
Sì |
Sì |
Backup |
Non applicabile |
Sì |
Sì |
Sì |
Sì |
Host |
Non applicabile |
Sì |
Sì |
Sì |
Sì |
Connessione storage |
Non applicabile |
Sì |
Sì |
Sì |
Sì |
Clonare |
Non applicabile |
No |
Sì |
No |
No |
Provisioning |
Non applicabile |
Sì |
Sì |
Sì |
Sì |
Dashboard |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Report |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Ripristinare |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Risorsa |
Sì |
Sì |
Sì |
Sì |
Sì |
Installazione/disinstallazione del plug-in |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Migrazione |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Montare |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Smontare |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |
Ripristino completo del volume |
No |
No |
Non applicabile |
Non applicabile |
Non applicabile |
SecondaryProtection |
No |
No |
Non applicabile |
Non applicabile |
Non applicabile |
Monitoraggio del processo |
Sì |
Non applicabile |
Non applicabile |
Non applicabile |
Non applicabile |