Skip to main content
ONTAP tools for VMware vSphere 10
本製品の最新リリースがご利用いただけます。
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPユーザーの役割と権限を構成する

ONTAP tools for VMware vSphereおよびONTAP System Manager 用の ONTAP ツールに付属の JSON ファイルを使用して、ストレージ バックエンドを管理するための新しいユーザー ロールと権限を設定できます。

開始する前に
  • https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip を使用して、 ONTAP tools for VMware vSphereからONTAP権限ファイルをダウンロードしておく必要があります。

  • ONTAPツールからONTAPPrivilegesファイルをダウンロードしておく必要があります。 https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip

    メモ ユーザーは、クラスターで作成することも、ストレージ仮想マシン (SVM) レベルで直接作成することもできます。 user_roles.json ファイルを使用せずにユーザーを作成することもできますが、その場合は SVM レベルで最小限の権限セットが必要です。
  • ストレージ バックエンドの管理者権限でログインしている必要があります。

手順
  1. ダウンロードした_\https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip_ファイルを解凍します。

  2. クラスタのクラスタ管理 IP アドレスを使用してONTAP System Manager にアクセスします。

  3. 管理者権限でクラスターにログインします。ユーザーを構成するには、次の手順を実行します。

    1. クラスタONTAPツール ユーザーを構成するには、[クラスタ] > [設定] > [ユーザーとロール] ペインを選択します。

    2. SVM ONTAPツール ユーザーを構成するには、[ストレージ SVM] > [設定] > [ユーザーとロール] ペインを選択します。

    3. [ユーザー]の下の[追加]を選択します。

    4. ユーザーの追加 ダイアログボックスで、仮想化製品 を選択します。

    5. *参照*して、 ONTAPPrivilegesJSON ファイルを選択してアップロードします。

      製品フィールドは自動的に入力されます。

    6. ドロップダウンから製品機能として*VSC、VASA プロバイダー、および SRA*を選択します。

      役割 フィールドは、選択した製品の機能に基づいて自動的に入力されます。

    7. 必要なユーザ名とパスワードを入力します。

    8. ユーザーに必要な権限 (検出、ストレージの作成、ストレージの変更、ストレージの破棄、NAS/SAN ロール) を選択し、[追加] を選択します。

新しいロールとユーザーが追加され、設定したロールの詳細な権限を確認できます。

SVM集約マッピング要件

データストアのプロビジョニングに SVM ユーザー認証情報を使用するために、 ONTAP tools for VMware vSphereは内部的に、データストア POST API で指定されたアグリゲート上にボリュームを作成します。 ONTAP、SVM ユーザー認証情報を使用して、SVM 上のマッピングされていないアグリゲート上にボリュームを作成することはできません。これを解決するには、ここで説明するように、 ONTAP REST API または CLI を使用して SVM をアグリゲートにマッピングする必要があります。

REST API:

PATCH "/api/svm/svms/f16f0935-5281-11e8-b94d-005056b46485" '{"aggregates":{"name":["aggr1","aggr2","aggr3"]}}'

ONTAP CLI:

sti115_vsim_ucs630f_aggr1 vserver show-aggregates                                        AvailableVserver        Aggregate      State         Size Type    SnapLock Type-------------- -------------- ------- ---------- ------- --------------svm_test       sti115_vsim_ucs630f_aggr1                               online     10.11GB vmdisk  non-snaplock

ONTAPユーザーとロールを手動で作成する

JSON ファイルを使用せずにユーザーとロールを手動で作成するには、このセクションの指示に従います。

  1. クラスタのクラスタ管理 IP アドレスを使用してONTAP System Manager にアクセスします。

  2. 管理者権限でクラスターにログインします。

    1. クラスタONTAPツールのロールを設定するには、クラスタ > 設定 > ユーザーとロール ペインを選択します。

    2. クラスタSVM ONTAPツールのロールを設定するには、ストレージSVM > 設定 > *ユーザーとロール*ペインを選択します。

  3. ロールの作成:

    1. *ロール*テーブルの下の*追加*を選択します。

    2. *ロール名*と*ロール属性*の詳細を入力します。

      ドロップダウンから*REST API パス*とそれぞれのアクセスを追加します。

    3. 必要な API をすべて追加し、変更を保存します。

  4. ユーザーの作成:

    1. *ユーザー*テーブルの下の*追加*を選択します。

    2. *ユーザーの追加*ダイアログボックスで、*システムマネージャ*を選択します。

    3. *ユーザー名*を入力します。

    4. 上記の*ロールの作成*手順で作成したオプションから*ロール*を選択します。

    5. アクセスを許可するアプリケーションと認証方法を入力します。必要なアプリケーションは ONTAPI と HTTP で、認証タイプは パスワード です。

    6. *ユーザーのパスワード*を設定し、ユーザーを*保存*します。

管理者以外のグローバル スコープのクラスタ ユーザーに必要な最小限の権限のリスト

このセクションでは、ユーザーJSONファイルを使用せずに作成された、管理者以外のグローバルスコープのクラスタユーザーに必要な最小限の権限について説明します。クラスタをローカルスコープで追加する場合は、JSONファイルを使用してユーザーを作成することをお勧めします。これは、 ONTAP tools for VMware vSphereでは、 ONTAPでのプロビジョニングに読み取り権限以上の権限が必要になるためです。

APIの使用:

API

アクセス レベル

使用目的

/api/クラスター

読み取り専用

クラスタ構成の検出

/api/cluster/ライセンス/ライセンス

読み取り専用

プロトコル固有のライセンスのライセンスチェック

/api/cluster/nodes

読み取り専用

プラットフォームタイプの検出

/api/セキュリティ/アカウント

読み取り専用

特権の発見

/api/セキュリティ/ロール

読み取り専用

特権の発見

/api/ストレージ/集約

読み取り専用

データストア/ボリュームのプロビジョニング中の合計スペースチェック

/api/ストレージ/クラスター

読み取り専用

クラスターレベルのスペースと効率データを取得するには

/api/ストレージ/ディスク

読み取り専用

アグリゲートに関連付けられたディスクを取得するには

/api/storage/qos/ポリシー

読み取り/作成/変更

QoSとVMポリシー管理

/api/svm/svms

読み取り専用

クラスターがローカルに追加された場合に SVM 構成を取得します。

/api/ネットワーク/ip/インターフェース

読み取り専用

ストレージバックエンドの追加 - 管理LIFスコープがクラスタ/SVMであることを確認する

/api/storage/可用性ゾーン

読み取り専用

SAZディスカバリー。ONTAP 9.16.1 リリース以降およびASA r2 システムに適用されます。

VMware vSphere ONTAP API ベースのクラスタ スコープ ユーザーONTAP tools for VMware vSphereを作成する

メモ データストアで障害が発生した場合に PATCH 操作と自動ロールバックを実行するには、検出、作成、変更、および破棄のPrivilegesが必要です。これらすべての権限が不足すると、ワークフローの中断やクリーンアップの問題が発生します。

検出、ストレージの作成、ストレージの変更、ストレージの破棄の権限を持つONTAP tools for VMware vSphere ONTAP API ベースのユーザー用の ONTAP ツールを作成すると、検出を開始し、 ONTAPツール ワークフローを管理できるようになります。

上記のすべての権限を持つクラスター スコープ ユーザーを作成するには、次のコマンドを実行します。

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all

security login rest-role create -role <role-name> -api /api/storage/volumes -access all

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all

security login rest-role create -role <role-name> -api /api/storage/luns -access all

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all

security login rest-role create -role <role-name> -api /api/storage/qos/policies -access all

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify

security login rest-role create -role <role-name> -api /api/cluster -access readonly

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly

security login rest-role create -role <role-name> -api /api/cluster/licensing/licenses -access readonly

security login rest-role create -role <role-name> -api /api/cluster/nodes -access readonly

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly

security login rest-role create -role <role-name> -api /api/security/roles -access readonly

security login rest-role create -role <role-name> -api /api/storage/aggregates -access readonly

security login rest-role create -role <role-name> -api /api/storage/cluster -access readonly

security login rest-role create -role <role-name> -api /api/storage/disks -access readonly

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly

さらに、 ONTAPバージョン 9.16.0 以降の場合は、次のコマンドを実行します。

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all

ONTAPバージョン 9.16.1 以降のASA r2 システムの場合は、次のコマンドを実行します。

security login rest-role create -role <role-name> -api /api/storage/availability-zones -access readonly

VMware vSphere ONTAP API ベースの SVM スコープ ユーザーONTAP tools for VMware vSphereを作成する

すべての権限を持つ SVM スコープ ユーザーを作成するには、次のコマンドを実行します。

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/volumes -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/luns -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/roles -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly -vserver <vserver-name>

さらに、 ONTAPバージョン 9.16.0 以降の場合は、次のコマンドを実行します。

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all -vserver <vserver-name>

上記で作成した API ベースのロールを使用して新しい API ベースのユーザーを作成するには、次のコマンドを実行します。

security login create -user-or-group-name <user-name> -application http -authentication-method password -role <role-name> -vserver <cluster-or-vserver-name>

例:

security login create -user-or-group-name testvpsraall -application http -authentication-method password -role OTV_10_VP_SRA_Discovery_Create_Modify_Destroy -vserver C1_sti160-cluster_

アカウントのロックを解除し、管理インターフェースへのアクセスを有効にするには、次のコマンドを実行します。

security login unlock -user <user-name> -vserver <cluster-or-vserver-name>

例:

security login unlock -username testvpsraall -vserver C1_sti160-cluster

ONTAP tools for VMware vSphereを10.3 ユーザーにアップグレードする

JSON ファイルを使用して作成されたクラスタ スコープのユーザーを持つONTAP tools for VMware vSphereの場合は、ユーザー管理者権限で次のONTAP CLI コマンドを使用して 10.3 リリースにアップグレードします。

製品の機能について:

  • VSC

  • VSCおよびVASAプロバイダー

  • VSCおよびSRA

  • VSC、VASA プロバイダー、および SRA。

クラスター権限:

security login role create -role <既存のロール名> -cmddirname "vserver nvme namespace show" -access all

security login role create -role <既存のロール名> -cmddirname "vserver nvme subsystem show" -access all

security login role create -role <既存のロール名> -cmddirname "vserver nvme subsystem host show" -access all

security login role create -role <既存のロール名> -cmddirname "vserver nvme subsystem map show" -access all

security login role create -role <既存のロール名> -cmddirname "vserver nvme show-interface" -access read

security login role create -role <既存のロール名> -cmddirname "vserver nvme subsystem host add" -access all

security login role create -role <既存のロール名> -cmddirname "vserver nvme subsystem map add" -access all

security login role create -role <既存のロール名> -cmddirname "vserver nvme namespace delete" -access all

security login role create -role <既存のロール名> -cmddirname "vserver nvme subsystem delete" -access all

security login role create -role <既存のロール名> -cmddirname "vserver nvme subsystem host remove" -access all

security login role create -role <既存のロール名> -cmddirname "vserver nvme subsystem map remove" -access all

json ファイルを使用して作成された SVM スコープ ユーザーを持つONTAP tools for VMware vSphereの場合は、管理者ユーザー権限でONTAP CLI コマンドを使用して 10.3 リリースにアップグレードします。

SVM 権限:

security login role create -role <既存のロール名> -cmddirname "vserver nvme namespace show" -access all -vserver <vserver-name>

security login role create -role <既存のロール名> -cmddirname "vserver nvme subsystem show" -access all -vserver <vserver-name>

security login role create -role <既存のロール名> -cmddirname "vserver nvme subsystem host show" -access all -vserver <vserver-name>

security login role create -role <既存のロール名> -cmddirname "vserver nvme subsystem map show" -access all -vserver <vserver-name>

security login role create -role <既存のロール名> -cmddirname "vserver nvme show-interface" -access read -vserver <vserver-name>

security login role create -role <既存のロール名> -cmddirname "vserver nvme subsystem host add" -access all -vserver <vserver-name>

security login role create -role <既存のロール名> -cmddirname "vserver nvme subsystem map add" -access all -vserver <vserver-name>

security login role create -role <既存のロール名> -cmddirname "vserver nvme namespace delete" -access all -vserver <vserver-name>

security login role create -role <既存のロール名> -cmddirname "vserver nvme subsystem delete" -access all -vserver <vserver-name>

security login role create -role <既存のロール名> -cmddirname "vserver nvme subsystem host remove" -access all -vserver <vserver-name>

security login role create -role <既存のロール名> -cmddirname "vserver nvme subsystem map remove" -access all -vserver <vserver-name>

既存のロールにコマンド vserver nvme namespace showvserver nvme subsystem show を追加すると、次のコマンドが追加されます。

vserver nvme namespace create

vserver nvme namespace modify

vserver nvme subsystem create

vserver nvme subsystem modify

ONTAP tools for VMware vSphereを10.4 ユーザー向けにアップグレードする

ONTAP 9.16.1 以降では、ONTAP tools for VMware vSphereを10.4 ユーザーにアップグレードします。

JSON ファイルとONTAPバージョン 9.16.1 以上を使用して作成されたクラスタ スコープ ユーザーを持つONTAP tools for VMware vSphereの場合は、管理者ユーザー権限でONTAP CLI コマンドを使用して 10.4 リリースにアップグレードします。

製品の機能について:

  • VSC

  • VSCおよびVASAプロバイダー

  • VSCおよびSRA

  • VSC、VASA プロバイダー、および SRA。

クラスター権限:

security login role create -role <existing-role-name> -cmddirname "storage availability-zone show" -access all