ONTAPでの JIT 権限の昇格へのアクセス
変更を提案
PDF
ONTAP 9.17.1以降、クラスタ管理者は"ジャストインタイム(JIT)権限昇格を構成する" ONTAPユーザーが特定のタスクを実行するために一時的に権限を昇格できるようにします。ユーザーにJITが設定されている場合、ユーザーはタスクを実行するために必要な権限を持つロールに一時的に権限を昇格できます。セッションの有効期限が切れると、ユーザーは元のアクセスレベルに戻ります。
クラスタ管理者は、ユーザーがJIT昇格にアクセスできる期間を設定できます。例えば、クラスタ管理者は、30日間(JIT有効期間)にわたり、セッションごとに30分(セッション有効期間)のJIT昇格アクセス制限を設定できます。30日間の期間中、ユーザーは必要に応じて何度でも権限を昇格できますが、各セッションは30分に制限されます。
-
JIT権限の昇格は、SSHを使用してONTAPにアクセスするユーザーのみが利用できます。権限の昇格は現在のSSHセッション内でのみ可能ですが、必要に応じて任意の数の同時SSHセッション内で権限を昇格できます。
-
JIT 権限の昇格は、パスワード、nsswitch、またはドメイン認証を使用してログインするユーザーに対してのみサポートされます。多要素認証 (MFA) は JIT 権限の昇格ではサポートされていません。
-
構成されたセッションまたは JIT の有効期間が経過した場合、またはクラスター管理者がユーザーの JIT アクセスを取り消した場合、ユーザーの JIT セッションは終了します。
-
JIT権限の昇格を利用するには、クラスタ管理者がアカウントのJITアクセスを設定する必要があります。クラスタ管理者は、権限を昇格できるロールと、昇格した権限にアクセスできる期間を決定します。
-
構成されたロールに権限を一時的に昇格します。
security jit-privilege elevateこのコマンドを入力すると、ログインパスワードの入力を求められます。アカウントにJITアクセスが設定されている場合、設定されたセッション期間中、昇格されたアクセス権限が付与されます。セッション期間が終了すると、元のアクセスレベルに戻ります。設定されたJIT有効期間内であれば、必要に応じて何度でも権限を昇格できます。
-
JIT セッションの残り時間を表示します。
security jit-privilege show-remaining-time現在 JIT セッション中の場合、このコマンドは残り時間を表示します。
-
必要に応じて、JIT セッションを早めに終了します。
security jit-privilege reset現在 JIT セッション中の場合、このコマンドは JIT セッションを終了し、元のアクセス レベルを復元します。