Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ファイルシステム分析によるロールベースアクセス制御

共同作成者
PDF

ONTAP 9 12.1以降、ONTAPにはという名前の事前定義されたRole-Based Access Control(RBAC;ロールベースアクセス制御)ロールが含まれてい admin-no-fsa`ます。この `admin-no-fsa`ロールは管理者レベルのPrivilegesを付与しますが、ユーザはONTAP CLI、REST API、およびSystem Managerでエンドポイントに関連する処理(ファイルシステム分析)を実行できません `files

役割の詳細については admin-no-fsa、を参照してくださいクラスタ管理者の事前定義されたロール

ONTAP 9 12.1より前にリリースされたバージョンのONTAPを使用している場合は、ファイルシステム分析へのアクセスを制御する専用のロールを作成する必要があります。12.1より前のバージョンのONTAPでは、ONTAP CLIまたはONTAP ONTAP 9を使用してRBACアクセス許可を設定する必要があります。

System Manager

ONTAP 9.12.1以降では、System Managerを使用してファイルシステム分析用のRBAC権限を設定できます。

手順

  1. [* Cluster]>[Settings](設定)を選択します。[セキュリティ]*で、[ユーザとロール]*に移動し、を選択します 矢印アイコン

  2. [ロール]*で、を選択します 追加アイコン

  3. ロールの名前を指定します。[Role Attributes]で、適切なを指定してユーザロールのアクセス権または制限を設定し"APIエンドポイント"ます。ファイルシステム分析のアクセスまたは制限を設定するには、プライマリパスとセカンダリパスについて次の表を参照してください。

    制限 プライマリパス セカンダリパス

    ボリュームのアクティビティ追跡

    /api/storage/volumes

    • /:uuid/top-metrics/directories

    • /:uuid/top-metrics/files

    • /:uuid/top-metrics/clients

    • /:uuid/top-metrics/users

    SVMでのアクティビティ追跡

    /api/svm/svms

    • /:uuid/top-metrics/directories

    • /:uuid/top-metrics/files

    • /:uuid/top-metrics/clients

    • /:uuid/top-metrics/users

    すべてのファイルシステム分析処理

    /api/storage/volumes

    /:uuid/files

    UUIDの代わりにを使用して、エンドポイントですべてのボリュームまたはSVMにポリシーを設定できます /*/

    各エンドポイントのアクセスPrivilegesを選択します。

  4. [ 保存( Save ) ] を選択します。

  5. ユーザにロールを割り当てるには、を参照してください管理者アクセスの制御

CLI

ONTAP 9 12.1より前にリリースされたONTAPのバージョンを使用している場合は、ONTAP CLIを使用してカスタムロールを作成します。

手順

  1. すべての機能にアクセスできるデフォルトロールを作成します。

    これは、制限ロールを作成する前に実行する必要があります。これは、アクティビティトラッキングでのみロールが制限されるようにするためです。

    security login role create -cmddirname DEFAULT -access all -role storageAdmin

  2. 制限ロールを作成します。

    security login role create -cmddirname "volume file show-disk-usage" -access none -role storageAdmin

  3. ロールにSVMのWebサービスへのアクセスを許可します。

    • `rest`RESTAPI呼び出し

    • `security`パスワード保護用

    • `sysmgr`System Managerヘノアクセスヨウ

      vserver services web access create -vserver svm-name -name_ -name rest -role storageAdmin

      vserver services web access create -vserver svm-name -name security -role storageAdmin

    vserver services web access create -vserver svm-name -name sysmgr -role storageAdmin

  4. ユーザを作成します。

    ユーザに適用するアプリケーションごとに、個別のcreateコマンドを発行する必要があります。同じユーザに対してcreateを複数回呼び出すと、その1人のユーザにすべてのアプリケーションが適用され、毎回新しいユーザが作成されることはありません。アプリケーションタイプのパラメータは、 `http`ONTAP REST APIおよびSystem Managerに適用されます。

    security login create -user-or-group-name storageUser -authentication-method password -application http -role storageAdmin

  5. 新しいユーザクレデンシャルを使用して、System Managerにログインするか、ONTAP REST APIを使用してファイルシステム分析データにアクセスできるようになりました。

詳細情報