Skip to main content
ONTAP tools for VMware vSphere 9.13
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP ストレージシステムおよび vSphere オブジェクトの権限

共同作成者

ONTAP の RBAC を使用すると、特定のストレージシステムへのアクセスとそれらのストレージシステムで実行できる操作を制御できます。ONTAP®tools for VMware vSphereでは、ONTAP RBACとvCenter Server RBACにより、特定のストレージシステムのオブジェクトに対して特定のユーザが実行できるONTAP toolsタスクが決まります。

ONTAP toolsでは、ONTAP toolsで設定したクレデンシャル(ユーザ名とパスワード)を使用して各ストレージシステムを認証し、そのストレージシステムで実行できるストレージ操作を判別します。ONTAP toolsでは、ストレージシステムごとに1組のクレデンシャルが使用されます。このクレデンシャルによって、そのストレージシステムで実行できるONTAP toolsタスクが決まります。つまり、このクレデンシャルはONTAP toolsのクレデンシャルであり、個 々 のONTAP toolsユーザのクレデンシャルではありません。

ONTAP RBACは、ストレージシステムへのアクセスとストレージ関連のONTAP toolsタスク(仮想マシンのプロビジョニングなど)の実行にのみ適用されます。それぞれのストレージシステムに対する適切な ONTAP RBAC 権限がないと、そのストレージシステムでホストされる vSphere オブジェクトに対してタスクを実行することはできません。ONTAP RBACとONTAP tools固有の権限を組み合わせて使用すると、ユーザが実行できるONTAP toolsタスクを制御できます。

  • ストレージまたはストレージシステムに格納されている vCenter Server オブジェクトの監視と設定

  • ストレージシステムに格納されている vSphere オブジェクトのプロビジョニング

ONTAP RBACとONTAP tools固有の権限を使用すると、ストレージ主体のセキュリティレイヤをストレージ管理者が管理できるようになります。これにより、 ONTAP RBAC または vCenter Server RBAC のどちらか一方のアクセス制御だけを使用した場合に比べ、よりきめ細かい制御が可能になります。たとえば、 vCenter Server RBAC を使用して、ネットアップストレージでのデータストアのプロビジョニングを vCenterUserB には許可し、 vCenterUserA には許可しないように設定したとします。この場合、特定のストレージシステムのクレデンシャルに対してストレージの作成を禁止すれば、 vCenterUserB と vCenterUserA のどちらもそのストレージシステムでデータストアのプロビジョニングを実行することはできません。

ONTAP toolsタスクを開始すると、最初にそのタスクに対する正しいvCenter Serverアクセス許可があるかどうかがONTAP toolsによって検証されます。タスクを実行するための十分なvCenter Serverアクセス許可がない場合、最初のvCenter Serverセキュリティチェックをパスしなかったため、ONTAP toolsでそのストレージシステムのONTAP権限を確認する必要はありません。そのため、ストレージシステムにアクセスできません。

十分なvCenter Serverアクセス許可がある場合、ONTAP toolsは次に、ストレージシステムのクレデンシャル(ユーザ名とパスワード)に関連付けられているONTAP RBAC権限(ONTAPロール)を確認します。 ONTAP toolsタスクに必要なストレージ操作をそのストレージシステムで実行するための十分な権限があるかどうかを確認する。適切なONTAP権限があれば、ストレージシステムにアクセスしてONTAP toolsのタスクを実行できます。ストレージシステムで実行できるONTAP toolsタスクは、ONTAPロールによって決まります。

各ストレージシステムには、一連の ONTAP 権限が関連付けられます。

ONTAP RBAC と vCenter Server RBAC の両方を使用すると、次のような利点があります。

  • セキュリティ

    どのユーザがどのタスクを実行できるかを、 vCenter Server オブジェクトレベルおよびストレージシステムレベルで制御できます。

  • 監査情報

    多くの場合、ONTAPツールはストレージシステムに関する監査証跡を提供します。これにより、ストレージに対して変更を行ったvCenter Serverユーザまでさかのぼってイベントを追跡できます。

  • 使いやすさ

    コントローラのクレデンシャルをすべて集約して一元管理できます。

VMware vSphere 用の ONTAP ツールを使用する際に推奨される ONTAP ロール

VMware vSphere および Role-Based Access Control ( RBAC ;ロールベースアクセス制御)用の ONTAP ® ツールを使用する際に推奨される ONTAP ロールをいくつか設定できます。これらのロールには、ONTAP toolsタスクで実行するストレージ処理に必要なONTAP権限が含まれています。

新しいユーザロールを作成するには、 ONTAP を実行しているストレージシステムに管理者としてログインする必要があります。ONTAP System Manager 9.8P1以降を使用してONTAP ロールを作成できます。を参照してください "ユーザロールと権限を設定" を参照してください。

各 ONTAP ロールには、ロールのクレデンシャルを構成するユーザ名とパスワードのペアが関連付けられています。このクレデンシャルを使用してログインしないと、ロールに関連付けられたストレージ処理にアクセスできません。

セキュリティ対策として、ONTAP tools固有のONTAPロールは階層構造になっています。最初のロールは最も制限のあるロールで、ONTAP toolsの最も基本的なストレージ処理に関連する権限だけが含まれます。次のロールには、そのロール独自の権限と、前のロールに関連付けられているすべての権限が含まれます。以降、上位のロールほど制限が少なく、より多くのストレージ処理をサポートします。

ONTAP toolsを使用する際に推奨されるONTAP RBACロールの一部を次に示します。ロールを作成したら、仮想マシンのプロビジョニングなど、ストレージに関するタスクを実行する必要があるユーザにそのロールを割り当てることができます。

  1. 検出

    ストレージシステムを追加できます。

  2. ストレージを作成します

    ストレージを作成できます。また、 Discovery ロールに関連付けられているすべての権限が含まれます。

  3. ストレージを変更します

    ストレージを変更できます。また、 Discovery ロールと Create Storage ロールに関連付けられているすべての権限が含まれます。

  4. ストレージを破棄します

    ストレージを破棄できます。また、 Discovery ロール、 Create Storage ロール、 Modify Storage ロールに関連付けられているすべての権限が含まれます。

VASA Provider for ONTAP を使用する場合は、 Policy-Based Management ( PBM ;ポリシーベース管理)ロールも設定します。ストレージポリシーを使用してストレージを管理できます。このロールを使用するには、「検出」ロールも設定する必要があります。