ONTAP Tools for VMware vSphere 10 RBACの詳細
ロールベースアクセス制御(RBAC)は、組織内のリソースへのアクセスを制御するためのセキュリティフレームワークです。RBACでは、個 々 のユーザに許可を割り当てるのではなく、特定のレベルの権限でロールを定義してアクションを実行することで、管理が簡易化されます。定義されたロールはユーザーに割り当てられます。これにより、エラーのリスクが軽減され、組織全体のアクセス制御の管理が簡素化されます。
RBACの標準モデルは、いくつかの実装テクノロジや複雑化するフェーズで構成されています。その結果、実際のRBACの導入は、ソフトウェアベンダーとその顧客のニーズに基づいて異なり、比較的単純なものから非常に複雑なものまでさまざまです。
RBACコンポーネント
大まかには、すべてのRBAC実装に一般的に含まれているコンポーネントがいくつかあります。これらのコンポーネントは、承認プロセスの定義の一部として、さまざまな方法で結合されます。
a_privilege_は、許可または拒否できるアクションまたは機能です。ファイルを読み取る機能のような単純なものかもしれませんし、特定のソフトウェアシステムに固有のより抽象的な操作かもしれません。Privilegesを定義して、REST APIエンドポイントとCLIコマンドへのアクセスを制限することもできます。すべてのRBAC実装には事前定義されたPrivilegesが含まれており、管理者はカスタムPrivilegesを作成することもできます。
a_role_は、1つ以上のPrivilegesを含むコンテナです。ロールは通常、特定のタスクまたはジョブ機能に基づいて定義されます。ロールをユーザに割り当てると、そのロールに含まれるすべてのPrivilegesがユーザに付与されます。また、Privilegesと同様に、実装には事前定義されたロールが含まれており、通常はカスタムロールを作成できます。
an_object_は、RBAC環境内で識別される実際のリソースまたは抽象リソースを表します。Privilegesで定義されたアクションは、関連オブジェクトに対して、または関連オブジェクトとともに実行されます。実装に応じて、Privilegesはオブジェクトタイプまたは特定のオブジェクトインスタンスに付与できます。
_users_には、認証後に適用されるロールが割り当てられるか、またはロールに関連付けられます。RBACの実装によっては、1人のユーザに1つのロールのみを割り当てることができるものと、1人のユーザに複数のロールを割り当てることができるものがあります(一度に1つのロールのみがアクティブになる場合もあります)。ロールを_groups_に割り当てると、セキュリティ管理がさらに簡素化されます。
a_permission_は'ロールとともにユーザーまたはグループをオブジェクトにバインドする定義です権限は階層オブジェクトモデルで役立ち、階層内の子にオプションで継承することができます。
2つのRBAC環境
ONTAP tools for VMware vSphere 10を使用する際に考慮する必要があるRBAC環境は2つあります。
VMware vCenter Serverに実装されたRBACは、vSphere Clientユーザインターフェイスを通じて公開されるオブジェクトへのアクセスを制限するために使用されます。ONTAP tools for VMware vSphere 10のインストールの一環として、RBAC環境が拡張され、ONTAP toolsの機能を表すオブジェクトが追加されました。これらのオブジェクトへのアクセスは、リモートプラグインを通じて提供されます。詳細については、を参照してください。"vCenter Server RBACカンキヨウ"
ONTAP tools for VMware vSphere 10は、ONTAP REST APIを使用してONTAPクラスタに接続し、ストレージ関連の処理を実行します。ストレージリソースへのアクセスは、認証時に指定したONTAPユーザに関連付けられたONTAPロールで制御されます。詳細については、を参照してください "ONTAP RBACカンキヨウ" 。