カスタムロールの定義
変更を提案
PDF
カスタムロールを定義するには、コマンドを使用し `security login role create`ます。このコマンドは、必要な回数だけ実行して、ロールに関連付ける機能を正確に組み合わせることができます。
-
ONTAPコマンドまたはコマンドディレクトリへのアクセスは、ロール(事前定義またはカスタム)によって許可または拒否されます。
コマンドディレクトリ(`volume`など)は、関連するコマンドとコマンドサブディレクトリのグループです。この手順で説明されている場合を除き、コマンドディレクトリへのアクセスを許可または拒否すると、ディレクトリおよびそのサブディレクトリ内の各コマンドへのアクセスが許可または拒否されます。
-
特定のコマンドまたはサブディレクトリへのアクセスは、親ディレクトリへのアクセスよりも優先されます。
コマンドディレクトリを使用してロールを定義したあとに、特定のコマンドまたは親ディレクトリのサブディレクトリに対して別のアクセスレベルで再度定義した場合、コマンドまたはサブディレクトリに指定されたアクセスレベルは親のアクセスレベルよりも優先されます。
|
クラスタ管理者のみが使用できるコマンドやコマンドディレクトリ(コマンドディレクトリなど) security`へのアクセスを許可するロールをSVM管理者に割り当てることはできません。 `admin
|
このタスクを実行するには、クラスタ管理者である必要があります。
-
カスタムロールを定義します。
security login role create -vserver SVM_name -role role -cmddirname command_or_directory_name -access access_level -query queryコマンド構文全体については、を参照してください "ワークシート"。
次のコマンドは、ロールに対し、コマンドディレクトリ内のコマンドへのフルアクセス `volume`と、サブディレクトリ内のコマンドへの読み取り専用アクセスを `volume snapshot`許可し `vol_role`ます。
cluster1::>security login role create -role vol_role -cmddirname "volume" -access all cluster1::>security login role create -role vol_role -cmddirname "volume snapshot" -access readonly
次のコマンドは、ロールに対し、コマンドディレクトリ内のコマンドへの読み取り専用アクセス
storage、サブディレクトリ内のコマンドへのアクセスなし、 `storage encryption`および非組み込みコマンドへのフルアクセスを `storage aggregate plex offline`許可し `SVM_storage`ます。cluster1::>security login role create -role SVM_storage -cmddirname "storage" -access readonly cluster1::>security login role create -role SVM_storage -cmddirname "storage encryption" -access none cluster1::>security login role create -role SVM_storage -cmddirname "storage aggregate plex offline" -access all