日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPでJIT権限の昇格を構成する

08/05/2025 共同作成者

ONTAP 9.17.1以降、クラスタ管理者はジャストインタイム（JIT）権限昇格を設定して、 ONTAPユーザが特定のタスクを実行するために一時的に権限を昇格できるようにすることができます。ユーザにJITが設定されている場合、一時的に"特権を高める"タスクを実行するために必要な権限を持つロールに切り替えます。セッション期間が終了すると、ユーザーは元のアクセスレベルに戻ります。

クラスター管理者は、ユーザーがJIT昇格にアクセスできる期間を設定できます。例えば、JIT昇格へのユーザーアクセスを、30日間（JIT有効期間）にわたり、1セッションあたり30分（セッション有効期間）に制限するように設定できます。30日間の期間中、ユーザーは必要に応じて何度でも権限を昇格できますが、各セッションは30分に制限されます。

JIT 権限昇格は最小権限の原則をサポートしており、ユーザーは昇格された権限を必要とするタスクを、その権限を永続的に付与することなく実行できます。これにより、不正アクセスやシステムへの偶発的な変更のリスクを軽減できます。以下の例は、JIT 権限昇格の一般的なユースケースを示しています。

一時的なアクセスを許可する `security login create`そして `security login delete`ユーザーのオンボーディングとオフボーディングを有効にするコマンド。
一時的なアクセスを許可する `system node image update`そして `system node upgrade-revert`更新ウィンドウ中に、コマンドアクセスが無効になります。更新が完了すると、コマンドアクセスは無効になります。
一時的なアクセスを許可する cluster add-node 、 cluster remove-node 、そして `cluster modify`クラスタの拡張または再構成を有効にします。クラスタの変更が完了すると、コマンドアクセスは取り消されます。
一時的なアクセスを許可する `volume snapshot restore`復元操作とバックアップターゲットの管理が可能になります。復元または設定が完了すると、コマンドアクセスは取り消されます。
一時的なアクセスを許可する `security audit log show`コンプライアンスチェック中に監査ログのレビューとエクスポートを有効にします。

より広範なJITの一般的な使用例については、こちらをご覧ください。 JITの一般的なユースケース。

クラスタ管理者は、 ONTAPユーザーの JIT アクセスを設定し、クラスタ全体でグローバルに、または特定の SVM に対してデフォルトの JIT 有効期間を設定できます。

タスクの内容

JIT権限の昇格は、SSHを使用してONTAPにアクセスするユーザーのみが利用できます。昇格された権限はユーザーの現在のSSHセッション内でのみ利用可能ですが、必要に応じて複数の同時SSHセッション内で権限を昇格できます。
JIT 権限の昇格は、パスワード、nsswitch、またはドメイン認証を使用してログインするユーザーに対してのみサポートされます。多要素認証 (MFA) は JIT 権限の昇格ではサポートされていません。

開始する前に

ONTAPクラスタ管理者である必要があります。 `admin`次のタスクを実行するための特権レベル。

グローバルJIT設定を変更する

デフォルトのJIT設定は、 ONTAPクラスタ全体、または特定のSVMごとに変更できます。これらの設定により、JITアクセスが設定されているユーザーのデフォルトのセッション有効期間と最大JIT有効期間が決まります。

タスクの内容

デフォルト `default-session-validity-period`値は1時間です。この設定は、ユーザーがJITセッションで昇格された権限にアクセスできる時間を決定します。この時間を超えると、再度昇格が必要になります。
デフォルト `max-jit-validity-period`値は90日間です。この設定は、設定された開始日以降、ユーザーがJIT昇格にアクセスできる最大期間を決定します。個々のユーザーに対してJITの有効期間を設定できますが、最大JIT有効期間を超えることはできません。

手順

現在の JIT 設定を確認します。
```
security jit-privilege show -vserver <svm_name>
```
`-vserver`はオプションです。SVMを指定しない場合、コマンドはグローバルJIT設定を表示します。
JIT 設定をグローバルまたは SVM に対して変更します。
```
security jit-privilege modify -vserver <svm_name> -default-session-validity-period <period> -max-jit-validity-period <period>
```
SVMを指定しない場合、コマンドはグローバルJIT設定を変更します。次の例では、SVMのデフォルトのJITセッション期間を45分、最大JIT期間を30日に設定します。 svm1 :
security jit-privilege modify -vserver svm1 -default-session-validity-period 45m -max-jit-validity-period 30d

この例では、ユーザーは一度に 45 分間 JIT 昇格にアクセスでき、構成された開始日から最大 30 日間 JIT セッションを開始できます。

ユーザーの JIT 権限昇格アクセスを構成する

ONTAPユーザーに JIT 権限の昇格アクセスを割り当てることができます。

手順

ユーザーの現在の JIT アクセスを確認します。
```
security jit-privilege user show -username <username>
```
`-username`はオプションです。ユーザー名を指定しない場合、コマンドはすべてのユーザーのJITアクセスを表示します。
ユーザーに新しい JIT アクセスを割り当てます。
```
security jit-privilege create -username <username> -vserver <svm_name> -role <rbac_role> -session-validity-period <period> -jit-validity-period <period> -start-time <date>
```
- もし `-vserver`指定されていない場合は、クラスターレベルで JIT アクセスが割り当てられます。
- -role`ユーザーが昇格されるRBACロールです。指定しない場合は、 `-role`デフォルトは `admin 。
- `-session-validity-period`ユーザーが昇格されたロールにアクセスできる期間です。この期間を過ぎると、新しいJITセッションを開始する必要があります。指定しない場合は、グローバルまたはSVM `default-session-validity-period`が使用されます。
- -jit-validity-period`設定された開始日以降にユーザーがJITセッションを開始できる最大期間です。指定しない場合は、 `session-validity-period`が使用されます。このパラメータはグローバルまたはSVMを超えることはできません。 `max-jit-validity-period 。
- `-start-time`ユーザーがJITセッションを開始できる日時です。指定されていない場合は、現在の日時が使用されます。
  
  次の例では、 ontap_user`アクセスするには `admin`新しい JIT セッションを開始する前に、1 時間ロールを実行します。 `ontap_user 2025年7月1日午後1時から60日間JITセッションを開始できるようになります。+ security jit-privilege user create -username ontap_user -role admin -session-validity-period 1h -jit-validity-period 60d -start-time "7/1/25 13:00:00"
必要に応じて、ユーザーの JIT アクセスを取り消します。
```
security jit-privilege user delete -username <username> -vserver <svm_name>
```
このコマンドは、ユーザーのJITアクセスを、たとえアクセス期限が切れていなくても取り消します。 `-vserver`が指定されていない場合、JITアクセスはクラスターレベルで取り消されます。ユーザーがアクティブなJITセッションに参加している場合は、セッションが終了します。

JITの一般的なユースケース

以下の表は、JIT権限昇格の一般的なユースケースを示しています。各ユースケースでは、関連するコマンドへのアクセスを提供するためにRBACロールを設定する必要があります。各コマンドは、コマンドとそのパラメータに関する詳細情報が記載されているONTAPコマンドリファレンスにリンクされています。

ユースケースコマンド詳細

ユースケース	コマンド	詳細
ユーザーとロールの管理	`security login create` `security login delete`	オンボーディングまたはオフボーディング中に、一時的に昇格してユーザーを追加/削除したり、役割を変更したりします。
証明書管理	`security certificate create` `security certificate install`	証明書のインストールまたは更新のために短期アクセスを許可します。
SSH/CLI アクセス制御	`security login create -application ssh`	トラブルシューティングやベンダーサポートのために、一時的に SSH アクセスを許可します。
ライセンス管理	`system license add` `system license delete`	機能のアクティブ化または非アクティブ化中にライセンスを追加または削除する権限を付与します。
システムのアップグレードとパッチ適用	`system node image update` `system node upgrade-revert`	アップグレードウィンドウに昇格し、その後取り消します。
ネットワークセキュリティ設定	`security login role create` `security login role modify`	ネットワーク関連のセキュリティロールへの一時的な変更を許可します。
クラスタ管理	`cluster add-node` `cluster remove-node` `cluster modify`	クラスターの拡張または再構成のために昇格します。
SVMの管理	`vserver create` `vserver delete` `vserver modify`	プロビジョニングまたは廃止のために、SVM 管理者権限を一時的に付与します。
ボリュームの管理	`volume create` `volume delete` `volume modify`	ボリュームのプロビジョニング、サイズ変更、または削除のために昇格します。
Snapshotの管理	`volume snapshot create` `volume snapshot delete` `volume snapshot restore`	リカバリ中にスナップショットを削除または復元する場合は昇格します。
ネットワーク設定	`network interface create` `network port vlan create`	メンテナンス期間中のネットワーク変更の権限を付与します。
ディスク/アグリゲート管理	`storage disk assign` `storage aggregate create` `storage aggregate add-disks`	ディスクの追加や削除、あるいはアグリゲートの管理を行うために昇格します。
データ保護	`snapmirror create` `snapmirror modify` `snapmirror restore`	SnapMirror関係を構成または復元するために一時的に昇格します。
パフォーマンス調整	`qos policy-group create` `qos policy-group modify`	パフォーマンスのトラブルシューティングやチューニングのために昇格します。
監査ログへのアクセス	`security audit log show`	コンプライアンスチェック中に監査ログの確認またはエクスポートを行うために一時的に昇格します。
イベントとアラートの管理	`event notification create` `event notification modify`	イベント通知または SNMP トラップを構成またはテストするには、Elevate を使用します。
コンプライアンス主導のデータアクセス	`volume show` `security audit log show`	監査人が機密データやログを確認できるように、一時的な読み取り専用アクセスを許可します。
特権アクセスのレビュー	`security login show` `security login role show`	特権アクセスの確認とレポートのために一時的に昇格します。読み取り専用の昇格アクセスを一定期間のみ許可します。

ユーザーとロールの管理

security login create
security login delete

オンボーディングまたはオフボーディング中に、一時的に昇格してユーザーを追加/削除したり、役割を変更したりします。

証明書管理

security certificate create
security certificate install

証明書のインストールまたは更新のために短期アクセスを許可します。

SSH/CLI アクセス制御

security login create -application ssh

トラブルシューティングやベンダーサポートのために、一時的に SSH アクセスを許可します。

ライセンス管理

system license add
system license delete

機能のアクティブ化または非アクティブ化中にライセンスを追加または削除する権限を付与します。

システムのアップグレードとパッチ適用

system node image update
system node upgrade-revert

アップグレードウィンドウに昇格し、その後取り消します。

ネットワークセキュリティ設定

security login role create
security login role modify

ネットワーク関連のセキュリティロールへの一時的な変更を許可します。

クラスタ管理

cluster add-node
cluster remove-node
cluster modify

クラスターの拡張または再構成のために昇格します。

SVMの管理

vserver create
vserver delete
vserver modify

プロビジョニングまたは廃止のために、SVM 管理者権限を一時的に付与します。

ボリュームの管理

volume create
volume delete
volume modify

ボリュームのプロビジョニング、サイズ変更、または削除のために昇格します。

Snapshotの管理

volume snapshot create
volume snapshot delete
volume snapshot restore

リカバリ中にスナップショットを削除または復元する場合は昇格します。

ネットワーク設定

network interface create
network port vlan create

メンテナンス期間中のネットワーク変更の権限を付与します。

ディスク/アグリゲート管理

storage disk assign
storage aggregate create
storage aggregate add-disks

ディスクの追加や削除、あるいはアグリゲートの管理を行うために昇格します。

データ保護

snapmirror create
snapmirror modify
snapmirror restore

SnapMirror関係を構成または復元するために一時的に昇格します。

パフォーマンス調整

qos policy-group create
qos policy-group modify

パフォーマンスのトラブルシューティングやチューニングのために昇格します。

監査ログへのアクセス

security audit log show

コンプライアンスチェック中に監査ログの確認またはエクスポートを行うために一時的に昇格します。

イベントとアラートの管理

event notification create
event notification modify

イベント通知または SNMP トラップを構成またはテストするには、Elevate を使用します。

コンプライアンス主導のデータアクセス

volume show
security audit log show

監査人が機密データやログを確認できるように、一時的な読み取り専用アクセスを許可します。

特権アクセスのレビュー

security login show
security login role show

特権アクセスの確認とレポートのために一時的に昇格します。読み取り専用の昇格アクセスを一定期間のみ許可します。

ONTAPでJIT権限の昇格を構成する

Creating your file...

グローバルJIT設定を変更する

ユーザーの JIT 権限昇格アクセスを構成する

JITの一般的なユースケース