RBACセキュリティの概要を参照してください
変更を提案
PDF
ONTAP には、堅牢で拡張可能なロールベースアクセス制御(RBAC)機能が搭載されています。各アカウントに異なるロールを割り当てて、REST APIおよびCLIを通じて公開されるリソースへのユーザアクセスを制御することができます。ロールは、ONTAP ユーザごとに異なるレベルの管理アクセスを定義します。
|
ONTAP RBAC機能は拡張が継続され、ONTAP 9.11.1(およびそれ以降のリリース)で大幅に強化されています。詳細については、およびを参照してください "RBACの機能拡張の概要" "ONTAP REST APIの新機能" 。 |
ONTAP ロール
ロールとは、ユーザが実行できるアクションをまとめて定義する権限のセットです。各権限は、特定のアクセスパスと関連するアクセスレベルを識別します。ロールはユーザアカウントに割り当てられ、アクセス制御を決定する際にONTAP によって適用されます。
ロールのタイプ
ロールには2つのタイプがあります。ONTAP の進化に合わせてさまざまな環境に導入、カスタマイズされています。
|
|
各タイプのロールを使用する場合、メリットとデメリットがあります。を参照してください "ロールタイプの比較" を参照してください。 |
| を入力します | 説明 |
|---|---|
REST |
RESTロールはONTAP 9.6で導入されたもので、一般にREST APIを使用してONTAP にアクセスするユーザに適用されます。RESTロールを作成すると、従来の_mapping_roleが自動的に作成されます。 |
伝統的 |
これらはONTAP 9.6より前のレガシーロールです。ONTAP CLI環境向けに導入された機能で、引き続きRBACのセキュリティの基盤となります。 |
適用範囲
すべてのロールには、スコープまたはコンテキストがあり、その中で定義および適用されます。スコープによって、特定のロールがどこでどのように使用されるかが決まります。
|
|
ONTAP ユーザアカウントにも、ユーザの定義方法と使用方法を決定する同様のスコープがあります。 |
| 適用範囲 | 説明 |
|---|---|
クラスタ |
クラスタスコープのロールは、ONTAP クラスタレベルで定義されます。クラスタレベルのユーザアカウントに関連付けられます。 |
SVM |
SVMスコープのロールは、特定のデータSVMに対して定義されます。ユーザアカウントは同じSVM内のユーザアカウントに割り当てられます。 |
ロール定義のソース
ONTAP ロールは2つの方法で定義できます。
| 役割のソース | 説明 |
|---|---|
カスタム |
ONTAP 管理者は、カスタムロールを作成できます。これらのロールは、環境やセキュリティの特定の要件に合わせてカスタマイズできます。 |
組み込み |
カスタムロールはより柔軟な設定が可能ですが、クラスタレベルとSVMレベルの両方で使用できる一連の組み込みロールも用意されています。これらのロールは事前定義されており、一般的な管理タスクに使用できます。 |
ロールマッピングとONTAP 処理
使用しているONTAP リリースに応じて、すべてまたはほぼすべてのREST API呼び出しが1つ以上のCLIコマンドに対応します。RESTロールを作成すると、従来のロールまたはレガシーロールも作成されます。この* Mapped *トラディショナル・ロールは対応するCLIコマンドに基づいており、操作や変更はできません。
|
|
リバースロールマッピングはサポートされません。つまり、従来のロールを作成しても、対応するRESTロールは作成されません。 |
RBACの機能拡張の概要
ONTAP 9のすべてのリリースに、従来のロールが含まれています。RESTロールはあとから導入されたロールで、以降のセクションで説明します。
REST APIはONTAP 9.6で導入されました。このリリースには、RESTロールも含まれていました。また、RESTロールを作成すると、対応する従来のロールも作成されます。
9.7から9.10.1までの各ONTAP リリースには、REST APIの機能拡張が含まれています。たとえば、リリースごとにRESTエンドポイントが追加されているとします。ただし、2つのロールタイプの作成と管理は別々に行われています。また、ONTAP 9.10.1では、リソース修飾エンドポイントである、スナップショットRESTエンドポイント「/api/storage/volumes /{voluu}/snapshots」に対するREST RBACサポートが追加されました。
このリリースでは、REST APIを使用して従来のロールを設定および管理できるようになりました。RESTロールの追加のアクセスレベルも追加されました。