ファイルシステム分析を使用したロールベースアクセス制御
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
ONTAP 9.12.1以降では、ONTAP に、という名前の事前定義されたロールベースアクセス制御(RBAC)ロールが含まれています admin-no-fsa
。。 admin-no-fsa
ロールは管理者レベルの権限を付与しますが、に関連する処理は実行できません files
ONTAP CLI、REST API、およびSystem Managerのエンドポイント(ファイルシステム分析など)
詳細については、を参照してください admin-no-fsa
ロール。を参照してください クラスタ管理者の事前定義されたロール。
ONTAP 9.12.1よりも前のバージョンのONTAP を使用している場合は、ファイルシステム分析へのアクセスを制御する専用のロールを作成する必要があります。ONTAP 9.12.1よりも前のバージョンのONTAP では、ONTAP CLIまたはONTAP REST APIを使用してRBAC権限を設定する必要があります。
ONTAP 9.12.1以降では、System Managerを使用してファイルシステム分析用のRBAC権限を設定できます。
-
[* Cluster]>[Settings](設定)を選択します。[*セキュリティ]で、[ユーザーと役割]に移動し、を選択します 。
-
[役割( Roles)]でを選択します 。
-
ロールの名前を指定します。Role Attributesで、適切なを指定してユーザロールのアクセスまたは制限を設定します "APIエンドポイント"。File System Analyticsアクセスまたは制限を設定するためのプライマリパスとセカンダリパスについては、次の表を参照してください。
制限 プライマリパス セカンダリパス ボリュームのアクティビティ追跡
/api/storage/volumes
-
/:uuid/top-metrics/directories
-
/:uuid/top-metrics/files
-
/:uuid/top-metrics/clients
-
/:uuid/top-metrics/users
SVMのアクティビティ追跡
/api/svm/svms
-
/:uuid/top-metrics/directories
-
/:uuid/top-metrics/files
-
/:uuid/top-metrics/clients
-
/:uuid/top-metrics/users
すべてのファイルシステム分析処理
/api/storage/volumes
/:uuid/files
を使用できます
/*/
エンドポイントのすべてのボリュームまたはSVMにポリシーを設定する場合は、UUIDの代わりにUUIDが設定されます。各エンドポイントのアクセス権限を選択します。
-
-
[ 保存( Save ) ] を選択します。
-
ユーザにロールを割り当てる手順については、を参照してください 管理者アクセスの制御。
ONTAP 9.12.1よりも前のバージョンのONTAP を使用している場合は、ONTAP CLIを使用してカスタムロールを作成します。
-
すべての機能にアクセスできるようにデフォルトのロールを作成します。
この作業は ' ロールがアクティビティの追跡のみに限定されるようにするために ' 制限的なロールを作成する前に実行する必要があります
security login role create -cmddirname DEFAULT -access all -role storageAdmin
-
制限付きロールを作成します。
security login role create -cmddirname "volume file show-disk-usage" -access none -role storageAdmin
-
ロールに SVM の Web サービスへのアクセスを許可します。
-
rest
(REST API呼び出しの場合) -
security
パスワード保護のため -
sysmgr
System Managerへのアクセスに使用しますvserver services web access create -vserver svm-name -name_ -name rest -role storageAdmin
vserver services web access create -vserver svm-name -name security -role storageAdmin
vserver services web access create -vserver svm-name -name sysmgr -role storageAdmin
-
-
ユーザを作成します。
ユーザに適用するアプリケーションごとに個別の create コマンドを問題 に設定する必要があります。同じユーザで create を複数回呼び出すと、すべてのアプリケーションがそのユーザに適用されるだけで、毎回新しいユーザが作成されることはありません。。
http
アプリケーションタイプのパラメータは、ONTAP REST APIおよびSystem Managerに適用されます。security login create -user-or-group-name storageUser -authentication-method password -application http -role storageAdmin
-
新しいユーザクレデンシャルを使用して、System Managerにログインするか、ONTAP REST APIを使用してファイルシステム分析データにアクセスできるようになりました。