ONTAP RBAC が ONTAP tools と連携する仕組み
変更を提案
PDF
ONTAPは、堅牢で拡張可能なRBAC環境を提供します。RBAC機能を使用すると、REST APIおよびCLIで公開されるストレージおよびシステム処理へのアクセスを制御できます。ONTAP Tools for VMware vSphere 10環境で使用する前に、環境を理解しておくと役立ちます。
管理オプションの概要
ONTAP RBACを使用する際には、環境や目標に応じていくつかのオプションを使用できます。主な管理上の決定事項の概要を以下に示します。詳細については、も参照してください "ONTAPの自動化:RBACセキュリティの概要"。
|
ONTAP RBAC はストレージ環境に合わせて調整されており、vCenter Server で提供される RBAC 実装よりもシンプルです。 ONTAPでは、ロールをユーザーに直接割り当てます。 ONTAP RBAC では、vCenter Server で使用されるような明示的な権限の構成は必要ありません。 |
ONTAPユーザを定義するには、ONTAPロールが必要です。ONTAPロールには次の2種類があります。
-
REST
RESTロールはONTAP 9.6で導入されたもので、一般にREST APIを使用してONTAP にアクセスするユーザに適用されます。これらのロールに含まれるPrivilegesは、ONTAP REST APIエンドポイントへのアクセスと関連するアクションの観点から定義されます。
-
伝統的
これらは、ONTAP 9.6 より前に存在していたレガシーロールです。これらは RBAC の根幹を成す要素であり続けています。権限は、ONTAP CLI コマンドへのアクセスに関して定義されます。
RESTロールは比較的最近導入されたものですが、従来のロールにもいくつかの利点があります。たとえば、追加のクエリパラメータを含めることで、権限が適用されるオブジェクトをより正確に定義できるようになります。
ONTAPロールは、2つの異なるスコープのいずれかで定義できます。特定のデータSVM(SVMレベル)またはONTAPクラスタ全体(クラスタレベル)に適用できます。
ONTAPには、クラスタレベルとSVMレベルの両方で事前定義された一連のロールが用意されています。カスタムロールを定義することもできます。
ONTAP RESTロールの使用
ONTAP tools for VMware vSphere 10に含まれているONTAP RESTロールを使用する場合は、いくつかの考慮事項があります。
従来のロールを使用するかRESTロールを使用するかに関係なく、すべてのONTAPアクセスの決定は基になるCLIコマンドに基づいて行われます。ただし、RESTロールのPrivilegesはREST APIエンドポイントで定義されるため、ONTAPでは各RESTロールに対して_mapped_traditionalロールを作成する必要があります。そのため、各RESTロールは基盤となる従来のロールにマッピングされます。これにより、ONTAPは、ロールタイプに関係なく一貫した方法でアクセス制御の決定を行うことができます。並行マッピングされたロールは変更できません。
ONTAPでは常にCLIコマンドを使用して基本レベルでのアクセスを決定するため、RESTエンドポイントの代わりにCLIコマンドPrivilegesを使用してRESTロールを表すことができます。このアプローチのメリットの1つは、従来の役割で利用できるきめ細かさです。
ONTAP CLIおよびREST APIを使用して、ユーザとロールを作成できます。ただし、System ManagerのインターフェイスとONTAP tools Managerから利用できるJSONファイルを使用する方が便利です。詳細については、を参照してください "ONTAP RBACとONTAP Tools for VMware vSphere 10の使用" 。