日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPユーザのロールと権限の設定

07/25/2025 共同作成者

PDF

ストレージバックエンドの管理に使用する新しいユーザロールと権限を設定するには、ONTAP tools for VMware vSphereおよびONTAP System Managerに付属のJSONファイルを使用します。

作業を開始する前に

ONTAP PrivilegesファイルをONTAP tools for VMware vSphereから、_\ https：//<ONTAPtoolsIP>：8443 /virtualization/user-privileges/users_roles.zip_を使用してダウンロードしておく必要があります。

を使用して、ONTAP toolsからONTAP Privilegesファイルをダウンロードしておく必要があります https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip。

ユーザは、クラスタレベルまたはStorage Virtual Machine（SVM）レベルで直接作成できます。user_roles.jsonファイルを使用せずにユーザを作成することもできます。作成した場合は、SVMレベルの最小限の権限セットが必要になります。

ストレージバックエンドの管理者権限でログインしている必要があります。

手順

ダウンロードした_\ https：//<ONTAPtoolsIP>：8443 /virtualization/user-privileges/users_roles.zip_fileを展開します。
クラスタのクラスタ管理IPアドレスを使用してONTAP System Managerにアクセスします。
管理Privilegesでクラスタにログインします。ユーザを設定するには、次の手順を実行します。
1. クラスタのONTAP toolsユーザを設定するには、[クラスタ]>*>[ユーザとロール]*ペインを選択します。
2. SVM ONTAP toolsのユーザを設定するには、[ストレージSVM ]>*>[ユーザとロール]*ペインを選択します。
3. [Users]で[Add]*を選択します。
4. [ユーザーの追加*]ダイアログボックスで、[仮想化製品*]を選択します。
5. *参照*をクリックして、ONTAP Privileges JSONファイルを選択してアップロードします。
  
  [Product]フィールドには自動的に値が入力されます。
6. ドロップダウンから製品機能として*VSC、VASA プロバイダー、および SRA*を選択します。
  
  [ロール]*フィールドには、選択した製品機能に基づいて自動的に値が入力されます。
7. 必要なユーザ名とパスワードを入力します。
8. ユーザに必要なPrivileges（検出、ストレージの作成、ストレージの変更、ストレージの削除、NAS/SANロール）を選択し、*[追加]*を選択します。

新しいロールとユーザが追加され、設定したロールの詳細な権限が表示されます。

SVMアグリゲートのマッピングの要件

データストアのプロビジョニングにSVMのユーザクレデンシャルを使用するために、内部的にONTAP tools for VMware vSphereは、データストアのPOST APIで指定されたアグリゲートにボリュームを作成します。ONTAPでは、SVMユーザクレデンシャルを使用して、マッピングされていないアグリゲートにボリュームを作成することはできません。この問題を解決するには、ここで説明するONTAP REST APIまたはCLIを使用してSVMとアグリゲートをマッピングする必要があります。

REST API：

PATCH "/api/svm/svms/f16f0935-5281-11e8-b94d-005056b46485" '{"aggregates":{"name":["aggr1","aggr2","aggr3"]}}'

ONTAP CLI：

sti115_vsim_ucs630f_aggr1 vserver show-aggregates                                        AvailableVserver        Aggregate      State         Size Type    SnapLock Type-------------- -------------- ------- ---------- ------- --------------svm_test       sti115_vsim_ucs630f_aggr1                               online     10.11GB vmdisk  non-snaplock

ONTAPのユーザとロールを手動で作成する

このセクションの手順に従って、JSONファイルを使用せずにユーザとロールを手動で作成します。

クラスタのクラスタ管理IPアドレスを使用してONTAP System Managerにアクセスします。
管理Privilegesでクラスタにログインします。
1. クラスタのONTAP toolsのロールを設定するには、[クラスタ]>*>[ユーザとロール]*ペインを選択します。
2. クラスタSVM ONTAP toolsのロールを設定するには、[ストレージSVM ]>*>[ユーザとロール]*ペインを選択します。
ロールの作成：
1. テーブルの[追加]*を選択します。
2. [ロール名]*および[ロール属性]*の詳細を入力します。
  
  [REST API Path]*と該当するアクセスをドロップダウンから追加します。
3. 必要なAPIをすべて追加し、変更を保存します。
ユーザの作成：
1. Users テーブルの Add *を選択します。
2. [ユーザの追加]ダイアログボックスで、*[System Manager]*を選択します。
3. [Username]*を入力します。
4. 上記の*ロールの作成*ステップで作成したオプションから*ロール*を選択します。
5. アクセスを許可するアプリケーションと認証方法を入力します。ONTAPIとHTTPが必要なアプリケーションで、認証タイプは* Password *です。
6. ユーザーの*パスワード*とユーザーの*保存*を設定します。

管理者以外のグローバルを対象としたクラスタユーザに必要な最小権限のリスト

このセクションでは、ユーザーJSONファイルを使用せずに作成された、管理者以外のグローバルスコープのクラスタユーザーに必要な最小限の権限について説明します。クラスタをローカルスコープで追加する場合は、JSONファイルを使用してユーザーを作成することをお勧めします。これは、 ONTAP tools for VMware vSphereでは、 ONTAPでのプロビジョニングに読み取り権限以上の権限が必要になるためです。

APIの使用：

API

アクセスレベル

使用目的

/api/クラスタ

読み取り専用

クラスタ構成の検出

/api/cluster/licensing/licenses

読み取り専用

プロトコル固有のライセンスのライセンスチェック

/API /クラスタ/ノード

読み取り専用

プラットフォームタイプの検出

/api/security/accounts（/api/security/アカウント）

読み取り専用

権限の検出

/api/security/rolesのように入力します

読み取り専用

権限の検出

/ API /ストレージ/アグリゲート

読み取り専用

データストア/ボリュームプロビジョニング時のアグリゲートスペースの確認

/ API /ストレージ/クラスタ

読み取り専用

クラスタレベルのスペースと削減率のデータを取得するには

/API/ストレージ/ディスク

読み取り専用

アグリゲートに関連付けられているディスクを取得するには

/api/storage/qos/policies

読み取り/作成/変更

QoSとVMポリシーの管理

/api/SVM/SVMs

読み取り専用

クラスタがローカルに追加された場合にSVMの設定を取得するには、次の手順を実行します。

/api/network/ip/interfaces

読み取り専用

ストレージバックエンドの追加-管理LIFの範囲がクラスタ/ SVMであることを確認します。

/api/ストレージ/アベイラビリティゾーン

読み取り専用

サズ・ディスカバリー。ONTAP 9.16.1リリース以降およびASA R2システムに適用されます。

クラスタを対象としたONTAP Tools for VMware vSphere ONTAP APIベースのユーザを作成する

データストアで障害が発生した場合にパッチ処理や自動ロールバックを実行するには、Privilegesの検出、作成、変更、削除が必要です。これらのPrivilegesがすべて揃っていないと、ワークフローの中断やクリーンアップの問題が発生します。

検出、ストレージの作成、ストレージの変更、ストレージの削除を伴うONTAP tools for VMware vSphere ONTAP APIベースのユーザの作成Privilegesを使用すると、検出の開始とONTAP toolsのワークフローの管理が可能になります。

上記のすべてのPrivilegesを使用してクラスタを対象としたユーザを作成するには、次のコマンドを実行します。

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all

security login rest-role create -role <role-name> -api /api/storage/volumes -access all

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all

security login rest-role create -role <role-name> -api /api/storage/luns -access all

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all

security login rest-role create -role <role-name> -api /api/storage/qos/policies -access all

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify

security login rest-role create -role <role-name> -api /api/cluster -access readonly

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly

security login rest-role create -role <role-name> -api /api/cluster/licensing/licenses -access readonly

security login rest-role create -role <role-name> -api /api/cluster/nodes -access readonly

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly

security login rest-role create -role <role-name> -api /api/security/roles -access readonly

security login rest-role create -role <role-name> -api /api/storage/aggregates -access readonly

security login rest-role create -role <role-name> -api /api/storage/cluster -access readonly

security login rest-role create -role <role-name> -api /api/storage/disks -access readonly

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly

また、ONTAPバージョン9.16.0以降の場合は、次のコマンドを実行します。

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all

ONTAPバージョン9.16.1以降のASA R2システムでは、次のコマンドを実行します。

security login rest-role create -role <role-name> -api /api/storage/availability-zones -access readonly

ONTAP tools for VMware vSphere ONTAP APIベースのSVMを対象としたユーザを作成する

すべてのPrivilegesを使用してSVMを対象としたユーザを作成するには、次のコマンドを実行します。

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/volumes -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/luns -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/roles -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly -vserver <vserver-name>

また、ONTAPバージョン9.16.0以降の場合は、次のコマンドを実行します。

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all -vserver <vserver-name>

上記で作成したAPIベースのロールを使用して新しいAPIベースのユーザを作成するには、次のコマンドを実行します。

security login create -user-or-group-name <user-name> -application http -authentication-method password -role <role-name> -vserver <cluster-or-vserver-name>

例

security login create -user-or-group-name testvpsraall -application http -authentication-method password -role OTV_10_VP_SRA_Discovery_Create_Modify_Destroy -vserver C1_sti160-cluster_

アカウントのロックを解除するには、次のコマンドを実行して管理インターフェイスへのアクセスを有効にします。

security login unlock -user <user-name> -vserver <cluster-or-vserver-name>

例

security login unlock -username testvpsraall -vserver C1_sti160-cluster

ONTAP tools for VMware vSphere 10.1ユーザから10.3ユーザへのアップグレード

JSONファイルを使用して作成されたクラスタを対象としたユーザのONTAP tools for VMware vSphere 10.1ユーザの場合は、次のONTAP CLIコマンドをユーザadmin Privilegesで使用して10.3リリースにアップグレードします。

製品機能の場合：

VSC
VSCとVASA Provider
VSCとSRA
VSC、VASA Provider、SRA：

クラスタPrivileges：

security login role create -role <existing-role-name>-cmddirname "vserver nvme namespace show"-access all

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem show"-access all

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem host show"-access all

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem map show"-access all

security login role create -role <existing-role-name>-cmddirname "vserver nvme show -interface"-access read

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem host add"-access all

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem map add"-access all

security login role create -role <existing-role-name>-cmddirname "vserver nvme namespace delete"-access all

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem delete"-access all

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem host remove"-access all

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem map remove"-access all

JSONファイルを使用して作成されたSVMを対象としたユーザを持つONTAP tools for VMware vSphere 10.1ユーザの場合は、管理ユーザPrivilegesを指定してONTAP CLIコマンドを使用し、10.3リリースにアップグレードします。

SVM Privileges：

security login role create -role <existing-role-name>-cmddirname "vserver nvme namespace show"-access all -vserver <vserver-name>

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem show"-access all -vserver <vserver-name>

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem host show"-access all -vserver <vserver-name>

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem map show"-access all -vserver <vserver-name>

security login role create -role <existing-role-name>-cmddirname "vserver nvme show-interface"-access read -vserver <vserver-name>

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem host add"-access all -vserver <vserver-name>

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem map add"-access all -vserver <vserver-name>

security login role create -role <existing-role-name>-cmddirname "vserver nvme namespace delete"-access all -vserver <vserver-name>

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem delete"-access all -vserver <vserver-name>

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem host remove"-access all -vserver <vserver-name>

security login role create -role <existing-role-name>-cmddirname "vserver nvme subsystem map remove"-access all -vserver <vserver-name>

command_vserver nvme namespace show_and_vserver nvme subsystem show_を既存のロールに追加すると、次のコマンドが追加されます。

vserver nvme namespace create

vserver nvme namespace modify

vserver nvme subsystem create

vserver nvme subsystem modify

ONTAP tools for VMware vSphere 10.3ユーザから10.4ユーザへのアップグレード

ONTAP 9.16.1以降では、ONTAP tools for VMware vSphere 10.3のユーザが10.4ユーザにアップグレードされます。

JSONファイルおよびONTAPバージョン9.16.1以降を使用して作成されたクラスタを対象としたユーザを含むONTAP tools for VMware vSphere 10.3ユーザの場合は、管理者ユーザPrivilegesを指定してONTAP CLIコマンドを使用し、10.4リリースにアップグレードします。

製品機能の場合：

VSC
VSCとVASA Provider
VSCとSRA
VSC、VASA Provider、SRA：

クラスタPrivileges：

security login role create -role <existing-role-name> -cmddirname "storage availability-zone show" -access all

ONTAPユーザのロールと権限の設定

Creating your file...

SVMアグリゲートのマッピングの要件

ONTAPのユーザとロールを手動で作成する

管理者以外のグローバルを対象としたクラスタユーザに必要な最小権限のリスト

クラスタを対象としたONTAP Tools for VMware vSphere ONTAP APIベースのユーザを作成する

ONTAP tools for VMware vSphere ONTAP APIベースのSVMを対象としたユーザを作成する

ONTAP tools for VMware vSphere 10.1ユーザから10.3ユーザへのアップグレード

ONTAP tools for VMware vSphere 10.3ユーザから10.4ユーザへのアップグレード