Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ファイルシステム分析を使用したロールベースアクセス制御

共同作成者
PDF

ONTAP 9.12.1以降では、ONTAP に、という名前の事前定義されたロールベースアクセス制御(RBAC)ロールが含まれています admin-no-fsa。。 admin-no-fsa ロールは管理者レベルの権限を付与しますが、に関連する処理は実行できません files ONTAP CLI、REST API、およびSystem Managerのエンドポイント(ファイルシステム分析など)

詳細については、を参照してください admin-no-fsa ロール。を参照してください クラスタ管理者の事前定義されたロール

ONTAP 9.12.1よりも前のバージョンのONTAP を使用している場合は、ファイルシステム分析へのアクセスを制御する専用のロールを作成する必要があります。ONTAP 9.12.1よりも前のバージョンのONTAP では、ONTAP CLIまたはONTAP REST APIを使用してRBAC権限を設定する必要があります。

System Manager の略

ONTAP 9.12.1以降では、System Managerを使用してファイルシステム分析用のRBAC権限を設定できます。

手順

  1. [* Cluster]>[Settings](設定)を選択します。[*セキュリティ]で、[ユーザーと役割]に移動し、を選択します 矢印アイコン

  2. [役割( Roles)]でを選択します 追加アイコン

  3. ロールの名前を指定します。Role Attributesで、適切なを指定してユーザロールのアクセスまたは制限を設定します "APIエンドポイント"。File System Analyticsアクセスまたは制限を設定するためのプライマリパスとセカンダリパスについては、次の表を参照してください。

    制限 プライマリパス セカンダリパス

    ボリュームのアクティビティ追跡

    /api/storage/volumes

    • /:uuid/top-metrics/directories

    • /:uuid/top-metrics/files

    • /:uuid/top-metrics/clients

    • /:uuid/top-metrics/users

    SVMのアクティビティ追跡

    /api/svm/svms

    • /:uuid/top-metrics/directories

    • /:uuid/top-metrics/files

    • /:uuid/top-metrics/clients

    • /:uuid/top-metrics/users

    すべてのファイルシステム分析処理

    /api/storage/volumes

    /:uuid/files

    を使用できます /*/ エンドポイントのすべてのボリュームまたはSVMにポリシーを設定する場合は、UUIDの代わりにUUIDが設定されます。

    各エンドポイントのアクセス権限を選択します。

  4. [ 保存( Save ) ] を選択します。

  5. ユーザにロールを割り当てる手順については、を参照してください 管理者アクセスの制御

CLI の使用

ONTAP 9.12.1よりも前のバージョンのONTAP を使用している場合は、ONTAP CLIを使用してカスタムロールを作成します。

手順

  1. すべての機能にアクセスできるようにデフォルトのロールを作成します。

    この作業は ' ロールがアクティビティの追跡のみに限定されるようにするために ' 制限的なロールを作成する前に実行する必要があります

    security login role create -cmddirname DEFAULT -access all -role storageAdmin

  2. 制限付きロールを作成します。

    security login role create -cmddirname "volume file show-disk-usage" -access none -role storageAdmin

  3. ロールに SVM の Web サービスへのアクセスを許可します。

    • rest (REST API呼び出しの場合)

    • security パスワード保護のため

    • sysmgr System Managerへのアクセスに使用します

      vserver services web access create -vserver svm-name -name_ -name rest -role storageAdmin

      vserver services web access create -vserver svm-name -name security -role storageAdmin

    vserver services web access create -vserver svm-name -name sysmgr -role storageAdmin

  4. ユーザを作成します。

    ユーザに適用するアプリケーションごとに個別の create コマンドを問題 に設定する必要があります。同じユーザで create を複数回呼び出すと、すべてのアプリケーションがそのユーザに適用されるだけで、毎回新しいユーザが作成されることはありません。。 http アプリケーションタイプのパラメータは、ONTAP REST APIおよびSystem Managerに適用されます。

    security login create -user-or-group-name storageUser -authentication-method password -application http -role storageAdmin

  5. 新しいユーザクレデンシャルを使用して、System Managerにログインするか、ONTAP REST APIを使用してファイルシステム分析データにアクセスできるようになりました。

詳細情報