ONTAPでのJITアクセス権限昇格
変更を提案
PDF
ONTAP 9.17.1以降、クラスタ管理者は"タイミングよく(JIT)権限昇格を設定する"ONTAPユーザーが特定のタスクを実行するために一時的に権限を昇格することを許可できます。ユーザーにJITが設定されている場合、ユーザーはタスクを実行するために必要な権限を持つロールに一時的に権限を昇格できます。セッションの有効期限が切れると、ユーザーは元のアクセス レベルに戻ります。
クラスタ管理者は、ユーザがJIT昇格にアクセスできる期間を設定できます。たとえば、クラスタ管理者は、30日間(JIT有効期間)にわたり、セッションごとに30分(セッション有効期間)のJIT昇格アクセス制限を設定できます。30日間の期間中、ユーザは必要に応じて何度でも権限を昇格できますが、各セッションは30分に制限されます。
-
JIT権限の昇格は、SSHを使用してONTAPにアクセスするユーザーのみが利用できます。権限の昇格は現在のSSHセッション内でのみ可能ですが、必要に応じて任意の数の同時SSHセッション内で権限を昇格できます。
-
JIT 権限の昇格は、パスワード、nsswitch、またはドメイン認証を使用してログインするユーザーに対してのみサポートされます。多要素認証(MFA)は JIT 権限の昇格ではサポートされていません。
-
構成されたセッションまたはJITの有効期間が経過した場合、またはクラスタ管理者がユーザのJITアクセスを取り消した場合、ユーザのJITセッションは終了します。
-
JIT権限の昇格を利用するには、クラスタ管理者がアカウントのJITアクセスを設定する必要があります。クラスタ管理者は、権限を昇格できるロールと、昇格した権限にアクセスできる期間を決定します。
-
構成されたロールに権限を一時的に昇格します:
security jit-privilege elevateこのコマンドを入力すると、ログインパスワードの入力を求められます。アカウントにJITアクセスが設定されている場合、設定されたセッション期間中、昇格されたアクセス権限が付与されます。セッション期間が終了すると、元のアクセス レベルに戻ります。設定されたJIT有効期間内であれば、必要に応じて何度でも権限を昇格できます。
-
JITセッションの残り時間を表示します:
security jit-privilege show-remaining-time現在タイミングよくセッション中の場合、このコマンドは残り時間を表示します。
-
必要に応じて、JITセッションを早めに終了します:
security jit-privilege reset現在JITセッション中の場合、このコマンドはJITセッションを終了し、元のアクセス レベルに戻します。