Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP File System Analyticsによるロールベースのアクセス制御

共同作成者 netapp-ahibbard netapp-aaron-holt netapp-lenida
PDF

ONTAP 9.12.1以降、ONTAPには `admin-no-fsa`と呼ばれる定義済みのロールベースアクセス制御(RBAC)ロールが含まれています。 `admin-no-fsa`ロールは管理者レベルの権限を付与しますが、ユーザーがONTAP CLI、REST API、およびSystem Managerで `files`エンドポイント(ファイルシステム分析など)に関連する操作を実行することはできません。

`admin-no-fsa`ロールの詳細については、xref:../authentication/predefined-roles-cluster-administrators-concept.html[クラスタ管理者の事前定義されたロール]を参照してください。

ONTAP 9.12.1より前のONTAPバージョンを使用している場合は、ファイルシステム分析へのアクセスを制御する専用のロールを作成する必要があります。ONTAP 9.12.1より前のバージョンのONTAPでは、ONTAP CLIまたはONTAP REST APIを使用してRBACの権限を設定する必要があります。

System Manager

ONTAP 9.12.1 以降では、System Manager を使用して File System Analytics の RBAC 権限を設定できます。

手順

  1. *クラスター > 設定*を選択します。*セキュリティ*の下で、*ユーザーとロール*に移動し、矢印アイコンを選択します。

  2. *役割*の下で、アイコンを追加を選択します。

  3. ロールの名前を入力します。「ロール属性」で、適切な"APIエンドポイント"を指定して、ユーザーロールのアクセスまたは制限を設定します。ファイルシステム分析のアクセスまたは制限を設定するためのプライマリパスとセカンダリパスについては、以下の表を参照してください。

    制限 プライマリ パス セカンダリ パス

    ボリュームでのアクティビティ追跡

    /api/storage/volumes

    • /:uuid/top-metrics/directories

    • /:uuid/top-metrics/files

    • /:uuid/top-metrics/clients

    • /:uuid/top-metrics/users

    SVMでのアクティビティ追跡

    /api/svm/svms

    • /:uuid/top-metrics/directories

    • /:uuid/top-metrics/files

    • /:uuid/top-metrics/clients

    • /:uuid/top-metrics/users

    すべてのファイルシステム分析処理

    /api/storage/volumes

    /:uuid/files

    UUID の代わりに `/*/`を使用し、エンドポイントのすべてのボリュームまたは SVM のポリシーを設定できます。

    各エンドポイントに対するアクセス権限を選択します。

  4. *保存*を選択します。

  5. ユーザーにロールを割り当てるには、管理者アクセスの制御を参照してください。

CLI

ONTAP 9.12.1より前にリリースされたONTAPバージョンを使用している場合は、ONTAP CLIを使用してカスタム ロールを作成します。

手順

  1. すべての機能にアクセスできるデフォルトのロールを作成します。

    このロールは、アクティビティ追跡のみにアクセスを制限したロールを作成する前に作成する必要があります。

    security login role create -cmddirname DEFAULT -access all -role storageAdmin

  2. 制限のあるロールを作成します。

    security login role create -cmddirname "volume file show-disk-usage" -access none -role storageAdmin

  3. SVMのWebサービスへのアクセスをロールに許可します。

    • `rest`REST API呼び出し用

    • `security`パスワード保護用

    • `sysmgr`System Manager アクセス用

      vserver services web access create -vserver <svm-name> -name rest -role storageAdmin

      vserver services web access create -vserver <svm-name> -name security -role storageAdmin

    vserver services web access create -vserver <svm-name> -name sysmgr -role storageAdmin

  4. ユーザを作成します。

    ユーザーに適用するアプリケーションごとに、個別のcreateコマンドを発行する必要があります。同じユーザーに対してcreateコマンドを複数回実行した場合、すべてのアプリケーションがそのユーザーに適用され、毎回新しいユーザーが作成されることはありません。アプリケーションタイプの `http`パラメータはONTAP REST APIとSystem Managerに適用されます。

    security login create -user-or-group-name storageUser -authentication-method password -application http -role storageAdmin

  5. 新しいユーザ クレデンシャルでSystem ManagerにログインするかONTAP REST APIを使用して、ファイルシステム分析のデータにアクセスできます。

詳細情報