日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPユーザのロールと権限の設定

09/29/2025 共同作成者

PDF

ONTAP tools for VMware vSphereおよびONTAP System Manager 用の ONTAP ツールの JSON ファイルを使用して、ストレージバックエンドのユーザーロールと権限を構成します。

作業を開始する前に

https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip を使用して、 ONTAP tools for VMware vSphereからONTAPPrivilegesファイルをダウンロードします。 zip ファイルをダウンロードすると、2 つの JSON ファイルが見つかります。 ASA r2 システムを構成するときは、 ASA r2 固有の JSON ファイルを使用します。

ユーザーは、クラスターレベルまたはストレージ仮想マシン (SVM) レベルで直接作成できます。 user_roles.json ファイルを使用しない場合は、ユーザーに必要な最小限の SVM 権限があることを確認してください。

ストレージバックエンドの管理者権限でログインします。

手順

ダウンロードした https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip ファイルを抽出します。
クラスタのクラスタ管理IPアドレスを使用してONTAP System Managerにアクセスします。
管理者権限でクラスターにログインします。ユーザーを構成するには:
1. クラスタONTAPツールユーザーを構成するには、[クラスタ] > [設定] > [ユーザーとロール] ペインを選択します。
2. SVM ONTAPツールユーザーを設定するには、[ストレージ SVM] > [設定] > [ユーザーとロール] ペインを選択します。
3. [Users]で[Add]*を選択します。
4. [ユーザーの追加*]ダイアログボックスで、[仮想化製品*]を選択します。
5. *参照*して、 ONTAPPrivilegesJSON ファイルを選択してアップロードします。 ASA r2 以外のシステムの場合は users_roles.json ファイルを選択し、 ASA r2 システムの場合は users_roles_ASAr2.json ファイルを選択します。
  
  ONTAPツールは、製品フィールドに自動的に入力します。
6. ドロップダウンから製品機能として*VSC、VASA プロバイダー、および SRA*を選択します。
  
  ONTAPツールは、選択した製品の機能に基づいて Role フィールドに自動的に入力します。
7. 必要なユーザ名とパスワードを入力します。
8. ユーザーに必要な権限 (検出、ストレージの作成、ストレージの変更、ストレージの破棄、NAS/SAN ロール) を選択し、[追加] を選択します。

ONTAPツールは新しいロールとユーザーを追加します。設定したロールの権限を表示できます。

SVMアグリゲートのマッピングの要件

SVM ユーザー認証情報を使用してデータストアをプロビジョニングする場合、 ONTAP tools for VMware vSphereは、データストア POST API で指定されたアグリゲート上にボリュームを作成します。 ONTAP、SVM ユーザーが SVM にマップされていないアグリゲート上にボリュームを作成できないようにします。ボリュームを作成する前に、 ONTAP REST API または CLI を使用して SVM を必要なアグリゲートにマッピングします。

REST API：

PATCH "/api/svm/svms/f16f0935-5281-11e8-b94d-005056b46485" '{"aggregates":{"name":["aggr1","aggr2","aggr3"]}}'

ONTAP CLI：

sti115_vsim_ucs630f_aggr1 vserver show-aggregates                                        AvailableVserver        Aggregate      State         Size Type    SnapLock Type-------------- -------------- ------- ---------- ------- --------------svm_test       sti115_vsim_ucs630f_aggr1                               online     10.11GB vmdisk  non-snaplock

ONTAPのユーザとロールを手動で作成する

JSON ファイルを使用せずにユーザーとロールを手動で作成します。

クラスタのクラスタ管理IPアドレスを使用してONTAP System Managerにアクセスします。
管理Privilegesでクラスタにログインします。
1. クラスタONTAPツールのロールを設定するには、クラスタ > 設定 > ユーザーとロール を選択します。
2. クラスター SVM ONTAPツールのロールを設定するには、ストレージ SVM > 設定 > ユーザーとロール を選択します。
ロールを作成します。
1. テーブルの[追加]*を選択します。
2. [ロール名]*および[ロール属性]*の詳細を入力します。
  
  REST API パス を追加し、ドロップダウンリストからアクセスを選択します。
3. 必要なAPIをすべて追加し、変更を保存します。
ユーザーを作成します:
1. Users テーブルの Add *を選択します。
2. [ユーザの追加]ダイアログボックスで、*[System Manager]*を選択します。
3. [Username]*を入力します。
4. 上記の*ロールの作成*ステップで作成したオプションから*ロール*を選択します。
5. アクセスを許可するアプリケーションと認証方法を入力します。ONTAPIとHTTPが必要なアプリケーションで、認証タイプは* Password *です。
6. ユーザーの*パスワード*とユーザーの*保存*を設定します。

管理者以外のグローバルを対象としたクラスタユーザに必要な最小権限のリスト

このセクションでは、JSON ファイルのない管理者以外のグローバルスコープのクラスターユーザーに必要な最小限の権限を示します。クラスタがローカルスコープ内にある場合、 ONTAP tools for VMware vSphereではONTAPでのプロビジョニングに読み取り権限以上の権限が必要なため、JSON ファイルを使用してユーザを作成します。

API を使用して機能にアクセスできます。

API

アクセスレベル

使用目的

/api/クラスタ

読み取り専用

クラスタ構成の検出

/api/cluster/licensing/licenses

読み取り専用

プロトコル固有のライセンスのライセンスチェック

/API /クラスタ/ノード

読み取り専用

プラットフォームタイプの検出

/api/security/accounts（/api/security/アカウント）

読み取り専用

権限の検出

/api/security/rolesのように入力します

読み取り専用

権限の検出

/ API /ストレージ/アグリゲート

読み取り専用

データストア/ボリュームのプロビジョニング中の集計スペースチェック

/ API /ストレージ/クラスタ

読み取り専用

クラスタレベルのスペースと効率データを取得するには

/API/ストレージ/ディスク

読み取り専用

アグリゲートに関連付けられたディスクを取得するには

/api/storage/qos/policies

読み取り/作成/変更

QoSとVMポリシー管理

/api/SVM/SVMs

読み取り専用

クラスターがローカルに追加されたときに SVM 構成を取得します。

/api/network/ip/interfaces

読み取り専用

ストレージバックエンドを追加 - 管理LIFスコープがクラスタ/SVMであることを確認する

/api/ストレージ/アベイラビリティゾーン

読み取り専用

SAZ発見。 ONTAP 9.16.1 リリース以降およびASA r2 システムに適用されます。

/api/cluster/メトロクラスタ

読み取り専用

MetroCluster のステータスと構成の詳細を取得します。

クラスタを対象としたONTAP Tools for VMware vSphere ONTAP APIベースのユーザを作成する

データストアでの PATCH 操作と自動ロールバックには、検出、作成、変更、および破棄の権限が必要です。権限がないと、ワークフローやクリーンアップの問題が発生する可能性があります。

検出、作成、変更、および破棄の権限を持つONTAP API ベースのユーザーは、 ONTAPツールのワークフローを管理できます。

上記のすべてのPrivilegesを使用してクラスタを対象としたユーザを作成するには、次のコマンドを実行します。

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all

security login rest-role create -role <role-name> -api /api/storage/volumes -access all

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all

security login rest-role create -role <role-name> -api /api/storage/luns -access all

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all

security login rest-role create -role <role-name> -api /api/storage/qos/policies -access all

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify

security login rest-role create -role <role-name> -api /api/cluster -access readonly

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly

security login rest-role create -role <role-name> -api /api/cluster/licensing/licenses -access readonly

security login rest-role create -role <role-name> -api /api/cluster/nodes -access readonly

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly

security login rest-role create -role <role-name> -api /api/security/roles -access readonly

security login rest-role create -role <role-name> -api /api/storage/aggregates -access readonly

security login rest-role create -role <role-name> -api /api/storage/cluster -access readonly

security login rest-role create -role <role-name> -api /api/storage/disks -access readonly

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly

security login rest-role create -role <role-name> -api /api/cluster/metrocluster -access readonly

また、ONTAPバージョン9.16.0以降の場合は、次のコマンドを実行します。

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all

ONTAPバージョン9.16.1以降のASA R2システムでは、次のコマンドを実行します。

security login rest-role create -role <role-name> -api /api/storage/availability-zones -access readonly

ONTAP tools for VMware vSphere ONTAP APIベースのSVMを対象としたユーザを作成する

すべての権限を持つ SVM スコープユーザーを作成するには、次のコマンドを実行します。

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/volumes -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/luns -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/roles -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly -vserver <vserver-name>

また、ONTAPバージョン9.16.0以降の場合は、次のコマンドを実行します。

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all -vserver <vserver-name>

上記で作成したAPIベースのロールを使用して新しいAPIベースのユーザを作成するには、次のコマンドを実行します。

security login create -user-or-group-name <user-name> -application http -authentication-method password -role <role-name> -vserver <cluster-or-vserver-name>

例

security login create -user-or-group-name testvpsraall -application http -authentication-method password -role OTV_10_VP_SRA_Discovery_Create_Modify_Destroy -vserver C1_sti160-cluster_

次のコマンドを実行して、アカウントのロックを解除し、管理インターフェースへのアクセスを有効にします。

security login unlock -user <user-name> -vserver <cluster-or-vserver-name>

例

security login unlock -username testvpsraall -vserver C1_sti160-cluster

ONTAP tools for VMware vSphere 10.1ユーザから10.3ユーザへのアップグレード

JSONファイルを使用して作成されたクラスタを対象としたユーザのONTAP tools for VMware vSphere 10.1ユーザの場合は、次のONTAP CLIコマンドをユーザadmin Privilegesで使用して10.3リリースにアップグレードします。

製品機能の場合：

VSC
VSCとVASA Provider
VSCとSRA
VSC、VASA Provider、SRA：

クラスタPrivileges：

security login role create -role <existing-role-name>-cmddirname "vserver nvme namespace show"-access all

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem show"-access all

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem host show"-access all

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem map show"-access all

security login role create -role <existing-role-name>-cmddirname "vserver nvme show -interface"-access read

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem host add"-access all

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem map add"-access all

security login role create -role <existing-role-name>-cmddirname "vserver nvme namespace delete"-access all

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem delete"-access all

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem host remove"-access all

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem map remove"-access all

JSONファイルを使用して作成されたSVMを対象としたユーザを持つONTAP tools for VMware vSphere 10.1ユーザの場合は、管理ユーザPrivilegesを指定してONTAP CLIコマンドを使用し、10.3リリースにアップグレードします。

SVM Privileges：

security login role create -role <existing-role-name>-cmddirname "vserver nvme namespace show"-access all -vserver <vserver-name>

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem show"-access all -vserver <vserver-name>

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem host show"-access all -vserver <vserver-name>

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem map show"-access all -vserver <vserver-name>

security login role create -role <existing-role-name>-cmddirname "vserver nvme show-interface"-access read -vserver <vserver-name>

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem host add"-access all -vserver <vserver-name>

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem map add"-access all -vserver <vserver-name>

security login role create -role <existing-role-name>-cmddirname "vserver nvme namespace delete"-access all -vserver <vserver-name>

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem delete"-access all -vserver <vserver-name>

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem host remove"-access all -vserver <vserver-name>

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem map remove"-access all -vserver <vserver-name>

次のコマンドを有効にするには、コマンド vserver nvme namespace show と vserver nvme subsystem show を既存のロールに追加します。

vserver nvme namespace create

vserver nvme namespace modify

vserver nvme subsystem create

vserver nvme subsystem modify

ONTAP tools for VMware vSphere 10.3ユーザから10.4ユーザへのアップグレード

ONTAP 9.16.1 以降では、 ONTAP tools for VMware vSphereを10.4 ユーザーにアップグレードします。

JSONファイルおよびONTAPバージョン9.16.1以降を使用して作成されたクラスタを対象としたユーザを含むONTAP tools for VMware vSphere 10.3ユーザの場合は、管理者ユーザPrivilegesを指定してONTAP CLIコマンドを使用し、10.4リリースにアップグレードします。

製品機能の場合：

VSC
VSCとVASA Provider
VSCとSRA
VSC、VASA Provider、SRA：

クラスタPrivileges：

security login role create -role <existing-role-name> -cmddirname "storage availability-zone show" -access all

ONTAPユーザのロールと権限の設定

Creating your file...

SVMアグリゲートのマッピングの要件

ONTAPのユーザとロールを手動で作成する

管理者以外のグローバルを対象としたクラスタユーザに必要な最小権限のリスト

クラスタを対象としたONTAP Tools for VMware vSphere ONTAP APIベースのユーザを作成する

ONTAP tools for VMware vSphere ONTAP APIベースのSVMを対象としたユーザを作成する

ONTAP tools for VMware vSphere 10.1ユーザから10.3ユーザへのアップグレード

ONTAP tools for VMware vSphere 10.3ユーザから10.4ユーザへのアップグレード