日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP でのジャストインタイム権限昇格の設定

01/23/2026 共同作成者

ONTAP 9.17.1以降、クラスタ管理者はジャストインタイム（JIT）権限昇格を設定できるようになりました。ONTAPユーザーは特定のタスクを実行するために一時的に権限を昇格できます。ユーザーにJITを設定すると、"特権を昇格する"タスクの実行に必要な権限を持つロールに一時的に昇格できます。セッション期間が終了すると、ユーザーは元のアクセスレベルに戻ります。

クラスタ管理者は、ユーザがJIT昇格にアクセスできる期間を設定できます。たとえば、JIT昇格へのユーザアクセスを、30日間（JIT有効期間）にわたり、1セッションあたり30分（セッション有効期間）に制限するように設定できます。30日間の期間中、ユーザは必要に応じて何度でも権限を昇格できますが、各セッションは30分に制限されます。

JIT 権限昇格は最小権限の原則をサポートしており、ユーザーは昇格された権限を必要とするタスクを、その権限を永続的に付与することなく実行できます。これにより、不正アクセスやシステムへの偶発的な変更のリスクを軽減できます。以下の例は、JIT 権限昇格の一般的なユースケースを示しています（：）

`security login create`および `security login delete`コマンドへの一時的なアクセスを許可して、ユーザのオンボーディングとオフボーディングを有効にします。
更新ウィンドウ中は、 `system node image update`および `system node upgrade-revert`への一時的なアクセスを許可します。更新が完了すると、コマンドへのアクセスは取り消されます。
cluster add-node、 cluster remove-node、および `cluster modify`への一時的なアクセスを許可して、クラスタの拡張または再構成を可能にします。クラスタの変更が完了すると、コマンドアクセスは取り消されます。
`volume snapshot restore`への一時的なアクセスを許可して、リストア処理とバックアップターゲットの管理を有効にします。リストアまたは設定が完了すると、コマンドアクセスは取り消されます。
コンプライアンスチェック中に監査ログの確認とエクスポートを有効にするために、 `security audit log show`への一時的なアクセスを許可します。

一般的な just-in-time の使用例のより詳細なリストについては、JITの一般的なユースケースを参照してください。

クラスタ管理者は ONTAP ユーザの JIT アクセスを設定し、クラスタ全体でグローバルに、または特定の SVM に対してデフォルトの JIT 有効期間を設定できます。

タスク概要

JIT権限の昇格は、SSHを使用してONTAPにアクセスするユーザーのみが利用できます。昇格された権限はユーザーの現在のSSHセッション内でのみ利用可能ですが、必要に応じて任意の数の同時SSHセッション内で権限を昇格できます。
JIT 権限の昇格は、パスワード、nsswitch、またはドメイン認証を使用してログインするユーザーに対してのみサポートされます。多要素認証（MFA）は JIT 権限の昇格ではサポートされていません。

開始する前に

次のタスクを実行するには、 `admin`権限レベルの ONTAP クラスタ管理者である必要があります。

グローバルjust-in-time設定を変更する

デフォルトのJIT設定はONTAPクラスタ全体、または特定のSVMごとに変更できます。これらの設定により、JITアクセスが設定されているユーザーのデフォルトのセッション有効期間と最大JIT有効期間が決まります。

タスク概要

デフォルト `default-session-validity-period`値は1時間です。この設定は、ユーザーがJITセッションで昇格された権限にアクセスできる時間（再昇格が必要になるまで）を決定します。
デフォルト `max-jit-validity-period`値は90日です。この設定は、設定された開始日以降、ユーザがタイミングよく昇格にアクセスできる最大期間を決定します。個々のユーザに対してタイミングよく昇格の有効期間を設定できますが、最大のタイミングよく昇格の有効期間を超えることはできません。

手順

現在の JIT 設定を確認します：
```
security jit-privilege show -vserver <svm_name>
```
`-vserver`はオプションです。SVMを指定しない場合、コマンドはグローバルJIT設定を表示します。
JIT 設定をグローバルまたは SVM に対して変更します：
```
security jit-privilege modify -vserver <svm_name> -default-session-validity-period <period> -max-jit-validity-period <period>
```
SVMを指定しない場合、コマンドはグローバルJIT設定を変更します。次の例では、SVM svm1`のデフォルトのJITセッション期間を45分、最大JIT期間を30日に設定します：+ `security jit-privilege modify -vserver svm1 -default-session-validity-period 45m -max-jit-validity-period 30d

この例では、ユーザーは一度に 45 分間タイミングよく昇格にアクセスでき、構成された開始日から最大 30 日間タイミングよくセッションを開始できます。

ユーザの JIT 権限昇格アクセスを設定する

ONTAP ユーザーにタイミングよく権限の昇格アクセスを割り当てることができます。

手順

ユーザの現在のタイミングよくアクセスを確認します：
```
security jit-privilege user show -username <username>
```
`-username`はオプションです。ユーザ名を指定しない場合、コマンドはすべてのユーザのJITアクセスを表示します。
ユーザに新しいタイミングよくアクセスを割り当てます：
```
security jit-privilege create -username <username> -vserver <svm_name> -role <rbac_role> -session-validity-period <period> -jit-validity-period <period> -start-time <date>
```
- `-vserver`が指定されていない場合、JIT アクセスはクラスタレベルで割り当てられます。
- `-role`は、ユーザーが昇格されるRBACロールです。指定されていない場合、 `-role`はデフォルトで `admin`になります。
- `-session-validity-period`は、ユーザーが新しいJITセッションを開始する必要が生じる前に昇格されたロールにアクセスできる期間です。指定されていない場合は、グローバルまたはSVM `default-session-validity-period`が使用されます。
- `-jit-validity-period`は、設定された開始日以降、ユーザーがJITセッションを開始できる最大期間です。指定しない場合は、 `session-validity-period`が使用されます。このパラメータは、グローバルまたはSVM `max-jit-validity-period`を超えることはできません。
- `-start-time`は、ユーザーがJITセッションを開始できる日時です。指定されていない場合は、現在の日時が使用されます。
  
  次の例では、 ontap_user`が新しい JIT セッションを開始する前に 1 時間 `admin`ロールにアクセスできるようになります。 `ontap_user`は、2025 年 7 月 1 日午後 1 時から 60 日間 JIT セッションを開始できるようになります：+ `security jit-privilege user create -username ontap_user -role admin -session-validity-period 1h -jit-validity-period 60d -start-time "7/1/25 13:00:00"
必要に応じて、ユーザーの JIT アクセスを取り消します：
```
security jit-privilege user delete -username <username> -vserver <svm_name>
```
このコマンドは、ユーザーのJITアクセスを、アクセス期限が切れていない場合でも取り消します。 `-vserver`が指定されていない場合、JITアクセスはクラスターレベルで取り消されます。ユーザーがアクティブなJITセッションに参加している場合は、セッションが終了します。

JITの一般的なユースケース

以下の表は、JIT権限昇格の一般的なユースケースを示しています。各ユースケースでは、関連するコマンドへのアクセスを提供するためにRBACロールを設定する必要があります。各コマンドは、コマンドとそのパラメータに関する詳細情報が記載されているONTAPコマンドリファレンスにリンクされています。

ユースケースコマンド詳細

ユースケース	コマンド	詳細
ユーザーとロールの管理	`security login create` `security login delete`	オンボーディングまたはオフボーディング中に、一時的に昇格してユーザーを追加/削除したり、ロールを変更したりします。
証明書管理	`security certificate create` `security certificate install`	証明書のインストールまたは更新のために短期アクセスを許可します。
SSH/CLI アクセス制御	`security login create -application ssh`	トラブルシューティングやベンダーサポートのために、一時的に SSH アクセスを許可します。
ライセンス管理	`system license add` `system license delete`	機能のアクティブ化または非アクティブ化中にライセンスを追加または削除する権限を付与します。
システムのアップグレードとパッチ適用	`system node image update` `system node upgrade-revert`	アップグレードウィンドウの間昇格し、その後取り消します。
ネットワークセキュリティ設定	`security login role create` `security login role modify`	ネットワーク関連のセキュリティロールへの一時的な変更を許可します。
クラスタ管理	`cluster add-node` `cluster remove-node` `cluster modify`	クラスターの拡張または再構成のために昇格します。
SVMの管理	`vserver create` `vserver delete` `vserver modify`	プロビジョニングまたは廃止のために、SVM 管理者権限を一時的に付与します。
ボリュームの管理	`volume create` `volume delete` `volume modify`	ボリュームのプロビジョニング、サイズ変更、または削除のために昇格します。
Snapshotの管理	`volume snapshot create` `volume snapshot delete` `volume snapshot restore`	リカバリ中のスナップショット削除または復元のために昇格します。
ネットワーク構成	`network interface create` `network port vlan create`	メンテナンス期間中のネットワーク変更の権限を付与します。
ディスク/アグリゲートの管理	`storage disk assign` `storage aggregate create` `storage aggregate add-disks`	ディスクの追加や削除、あるいはアグリゲートの管理を行うには、権限を昇格してください。
データ保護	`snapmirror create` `snapmirror modify` `snapmirror restore`	SnapMirror関係を構成または復元するために一時的に昇格します。
パフォーマンス調整	`qos policy-group create` `qos policy-group modify`	パフォーマンスのトラブルシューティングやチューニングのために昇格します。
監査ログへのアクセス	`security audit log show`	コンプライアンスチェック中に監査ログの確認またはエクスポートを行うために一時的に昇格します。
イベントとアラートの管理	`event notification create` `event notification modify`	イベント通知または SNMP トラップを構成またはテストするには、Elevate を使用します。
コンプライアンス主導のデータアクセス	`volume show` `security audit log show`	監査人が機密データやログを確認できるように、一時的な読み取り専用アクセスを許可します。
特権アクセスのレビュー	`security login show` `security login role show`	特権アクセスの確認とレポートのために一時的に昇格します。読み取り専用の昇格アクセスを一定期間のみ許可します。

ユーザーとロールの管理

security login create
security login delete

オンボーディングまたはオフボーディング中に、一時的に昇格してユーザーを追加/削除したり、ロールを変更したりします。

証明書管理

security certificate create
security certificate install

証明書のインストールまたは更新のために短期アクセスを許可します。

SSH/CLI アクセス制御

security login create -application ssh

トラブルシューティングやベンダーサポートのために、一時的に SSH アクセスを許可します。

ライセンス管理

system license add
system license delete

機能のアクティブ化または非アクティブ化中にライセンスを追加または削除する権限を付与します。

システムのアップグレードとパッチ適用

system node image update
system node upgrade-revert

アップグレードウィンドウの間昇格し、その後取り消します。

ネットワークセキュリティ設定

security login role create
security login role modify

ネットワーク関連のセキュリティロールへの一時的な変更を許可します。

クラスタ管理

cluster add-node
cluster remove-node
cluster modify

クラスターの拡張または再構成のために昇格します。

SVMの管理

vserver create
vserver delete
vserver modify

プロビジョニングまたは廃止のために、SVM 管理者権限を一時的に付与します。

ボリュームの管理

volume create
volume delete
volume modify

ボリュームのプロビジョニング、サイズ変更、または削除のために昇格します。

Snapshotの管理

volume snapshot create
volume snapshot delete
volume snapshot restore

リカバリ中のスナップショット削除または復元のために昇格します。

ネットワーク構成

network interface create
network port vlan create

メンテナンス期間中のネットワーク変更の権限を付与します。

ディスク/アグリゲートの管理

storage disk assign
storage aggregate create
storage aggregate add-disks

ディスクの追加や削除、あるいはアグリゲートの管理を行うには、権限を昇格してください。

データ保護

snapmirror create
snapmirror modify
snapmirror restore

SnapMirror関係を構成または復元するために一時的に昇格します。

パフォーマンス調整

qos policy-group create
qos policy-group modify

パフォーマンスのトラブルシューティングやチューニングのために昇格します。

監査ログへのアクセス

security audit log show

コンプライアンスチェック中に監査ログの確認またはエクスポートを行うために一時的に昇格します。

イベントとアラートの管理

event notification create
event notification modify

イベント通知または SNMP トラップを構成またはテストするには、Elevate を使用します。

コンプライアンス主導のデータアクセス

volume show
security audit log show

監査人が機密データやログを確認できるように、一時的な読み取り専用アクセスを許可します。

特権アクセスのレビュー

security login show
security login role show

特権アクセスの確認とレポートのために一時的に昇格します。読み取り専用の昇格アクセスを一定期間のみ許可します。

ONTAP でのジャストインタイム権限昇格の設定

Creating your file...

グローバルjust-in-time設定を変更する

ユーザの JIT 権限昇格アクセスを設定する

JITの一般的なユースケース