ONTAP管理者のカスタムロールを定義する
変更を提案
PDF
`security login role create`コマンドを使用してカスタム ロールを定義できます。ロールに関連付ける機能の正確な組み合わせを実現するために、必要な回数だけコマンドを実行できます。
-
ONTAPのコマンドやコマンド ディレクトリへのアクセスは、ロール(事前定義済みまたはカスタム)に基づいて許可または拒否されます。
コマンド ディレクトリ(`volume`は、関連するコマンドとコマンド サブディレクトリのグループです。この手順で説明されている場合を除き、コマンド ディレクトリへのアクセスを許可または拒否すると、ディレクトリとそのサブディレクトリ内の各コマンドへのアクセスも許可または拒否されます。
-
特定のコマンドまたはサブディレクトリへのアクセスは、親ディレクトリへのアクセスよりも優先されます。
あるロールにコマンド ディレクトリを定義し、そのあとに親ディレクトリの特定のコマンドまたはサブディレクトリに対して異なるアクセス レベルを定義した場合、そのコマンドまたはサブディレクトリに対して指定したアクセス レベルが親のアクセス レベルよりも優先されます。
|
`admin`クラスタ管理者のみが使用できるコマンドまたはコマンド ディレクトリ( `security`コマンド ディレクトリなど)へのアクセス権を付与するロールをSVM管理者に割り当てることはできません。 |
このタスクを実行するには、クラスタ管理者である必要があります。
-
カスタム ロールを定義します。
security login role create -vserver SVM_name -role role -cmddirname command_or_directory_name -access access_level -query query次のコマンドは、 `vol_role`ロールに `volume`コマンド ディレクトリ内のコマンドへのフル アクセスと、 `volume snapshot`サブディレクトリ内のコマンドへの読み取り専用アクセスを付与します。
cluster1::>security login role create -role vol_role -cmddirname "volume" -access all cluster1::>security login role create -role vol_role -cmddirname "volume snapshot" -access readonly
次のコマンドは、 `SVM_storage`ロールに `storage`コマンド ディレクトリ内のコマンドへの読み取り専用アクセスを許可し、 `storage encryption`サブディレクトリ内のコマンドへのアクセスを許可せず、 `storage aggregate plex offline`非組み込みコマンドへのフル アクセスを許可します。
cluster1::>security login role create -role SVM_storage -cmddirname "storage" -access readonly cluster1::>security login role create -role SVM_storage -cmddirname "storage encryption" -access none cluster1::>security login role create -role SVM_storage -cmddirname "storage aggregate plex offline" -access all
`security login role create`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-login-role-create.html["ONTAPコマンド リファレンス"^]を参照してください。