ONTAPのマルチ管理者認証の詳細
変更を提案
PDF
ONTAP 9.11.1以降では、Multi-Admin Verification(MAV;マルチ管理者認証)を使用して、ボリュームやスナップショットの削除などの特定の処理を、指定した管理者の承認後にのみ実行できるようにすることができます。これにより、侵害された管理者や悪意のある管理者、経験の浅い管理者が望ましくない変更やデータ削除を行うのを防ぐことができます。
マルチ管理者検証の構成は次のとおりです。
初期設定後にこれらの要素を変更できるのは、MAV承認グループの管理者(MAV管理者)のみです。
マルチ管理者認証が有効な場合、保護対象処理を完了するには次の手順が必要です。
-
ユーザが処理を開始すると、 "要求が生成されます。"
-
操作を実行する前に、少なくとも1つの"MAV管理者は承認する必要があります。"
-
承認されると、ユーザーはプロンプトを表示して操作を完了します。
|
MAV管理者の承認なしにマルチ管理者検証機能を無効にする必要がある場合は、 NetAppサポートに連絡して次のことを伝えてください。"NetAppナレッジベース: MAV 管理者が利用できない場合にマルチ管理者検証を無効にする方法" 。 |
複数管理者による検証は、高度な自動化を伴うボリュームやワークフローでは使用しません。自動化された各タスクは、処理を完了する前に承認が必要になるためです。自動化とMAVを一緒に使用する場合は、特定のMAV操作にクエリを使用することをお勧めします。たとえば、自動化が関係していないボリュームにのみMAVルールを適用し、特定の命名方式でそれらのボリュームを指定でき `volume delete`ます。
|
|
Cloud Volumes ONTAPでは、マルチ管理者認証は使用できません。 |
マルチ管理者認証の仕組み
マルチ管理者認証は次の要素で構成されます。
-
承認権と拒否権を持つ1人以上の管理者のグループ。
-
保護された操作またはコマンドのセット(a_rules table_)
-
a_rulesエンジン_保護されたオペレーションの実行を識別および制御します
MAVルールは、Role-Based Access Control(RBAC;ロールベースアクセス制御)ルールのあとに評価されます。したがって、保護された処理を実行または承認する管理者は、それらの処理に対して最低限必要なRBAC Privilegesをすでに所有している必要があります。"RBACの詳細については、こちらをご覧ください"です。
システム定義のルール
マルチ管理者検証を有効にすると、システム定義のルール(_guard-rale_rulesとも呼ばれます)によってMAV処理のセットが確立され、MAVプロセス自体が回避されるリスクが含まれます。これらの操作をルールテーブルから削除することはできません。MAVを有効にすると、アスタリスク()で指定された操作は、実行前に1人以上の管理者による承認を必要とします。ただし、 show *コマンドは除きます。
-
security multi-admin-verify modify`操作 `*マルチ管理者検証機能の構成を制御します。
-
security multi-admin-verify approval-group`運用 `*マルチ管理者認証資格情報を使用して、管理者セットのメンバーシップを制御します。
-
security multi-admin-verify rule`運用 `*複数管理者による検証を必要とする一連のコマンドを制御します。
-
`security multi-admin-verify request`運用
承認プロセスを制御します。
ルール保護コマンド
システム定義の操作に加えて、マルチ管理者検証が有効になっている場合は次のコマンドがデフォルトで保護されますが、ルールを変更してこれらのコマンドの保護を削除できます。
各ONTAPバージョンでは、マルチ管理者認証ルールで保護できるコマンドが上記以外にも用意されています。保護可能なコマンドの全一覧を確認するには、お使いのONTAPリリースを選択してください。
-
cluster date modify3 -
cluster log-forwarding create3 -
cluster log-forwarding delete3 -
cluster log-forwarding modify3 -
cluster peer delete -
cluster time-service ntp server create3 -
cluster time-service ntp server delete3 -
cluster time-service ntp key create3 -
cluster time-service ntp key delete3 -
cluster time-service ntp key modify3 -
cluster time-service ntp server modify3 -
event config modify -
event config set-mail-server-password3 -
lun delete3 -
security anti-ransomware volume attack clear-suspect1 -
security anti-ransomware volume disable1 -
security anti-ransomware volume event-log modify2 -
security anti-ransomware volume pause1 -
security anti-ransomware vserver event-log modify2 -
security audit modify3 -
security ipsec config modify3 -
security ipsec policy create3 -
security ipsec policy delete3 -
security ipsec policy modify3 -
security login create -
security login delete -
security login modify -
security login publickey create -
security login publickey delete -
security login publickey modify -
security key-manager onboard update-passphrase3 -
security saml-sp create3 -
security saml-sp delete3 -
security saml-sp modify3 -
security webauthn credentials delete4 -
snaplock legal-hold end3 -
storage aggregate delete3 -
storage aggregate offline4 -
storage encryption disk destroy3 -
storage encryption disk modify3 -
storage encryption disk revert-to-original-state3 -
storage encryption disk sanitize3 -
system bridge run-cli3 -
system controller flash-cache secure-erase run3 -
system controller service-event delete3 -
system health alert delete3 -
system health alert modify3 -
system health policy definition modify3 -
system node autosupport modify3 -
system node autosupport trigger modify3 -
system node coredump delete3 -
system node coredump delete-all3 -
system node hardware nvram-encryption modify3 -
system node run -
system node systemshell -
system script delete3 -
system service-processor ssh add-allowed-addresses3 -
system service-processor ssh remove-allowed-addresses3 -
system smtape restore3 -
system switch ethernet log disable-collection3 -
system switch ethernet log modify3 -
timezone3 -
volume create3 -
volume delete -
volume encryption conversion start4 -
volume encryption rekey start4 -
volume file privileged-delete3 -
volume flexcache delete -
volume modify3 -
volume rename5 -
volume recovery-queue modify2 -
volume recovery-queue purge2 -
volume recovery-queue purge-all2 -
volume snaplock modify1 -
volume snapshot autodelete modify -
volume snapshot create3 -
volume snapshot delete -
volume snapshot modify3 -
volume snapshot policy add-schedule -
volume snapshot policy create -
volume snapshot policy delete -
volume snapshot policy modify -
volume snapshot policy modify-schedule -
volume snapshot policy remove-schedule -
volume snapshot rename3 -
volume snapshot restore -
vserver audit create3 -
vserver audit delete3 -
vserver audit disable3 -
vserver audit modify3 -
vserver audit rotate-log3 -
vserver create2 -
vserver consistency-group create4 -
vserver consistency-group delete4 -
vserver consistency-group modify4 -
vserver consistency-group snapshot create4 -
vserver consistency-group snapshot delete4 -
vserver delete3 -
vserver modify2 -
vserver object-store-server audit create3 -
vserver object-store-server audit delete3 -
vserver object-store-server audit disable3 -
vserver object-store-server audit modify3 -
vserver object-store-server audit rotate-log3 -
vserver object-store-server bucket cors-rule create4 -
vserver object-store-server bucket cors-rule delete4 -
vserver options3 -
vserver peer delete -
vserver security file-directory apply3 -
vserver security file-directory remove-slag3 -
vserver stop4 -
vserver vscan disable3 -
vserver vscan on-access-policy create3 -
vserver vscan on-access-policy delete3 -
vserver vscan on-access-policy disable3 -
vserver vscan on-access-policy modify3 -
vserver vscan scanner-pool create3 -
vserver vscan scanner-pool delete3 -
vserver vscan scanner-pool modify3
-
cluster date modify3 -
cluster log-forwarding create3 -
cluster log-forwarding delete3 -
cluster log-forwarding modify3 -
cluster peer delete -
cluster time-service ntp server create3 -
cluster time-service ntp server delete3 -
cluster time-service ntp key create3 -
cluster time-service ntp key delete3 -
cluster time-service ntp key modify3 -
cluster time-service ntp server modify3 -
event config modify -
event config set-mail-server-password3 -
lun delete3 -
security anti-ransomware volume attack clear-suspect1 -
security anti-ransomware volume disable1 -
security anti-ransomware volume event-log modify2 -
security anti-ransomware volume pause1 -
security anti-ransomware vserver event-log modify2 -
security audit modify3 -
security ipsec config modify3 -
security ipsec policy create3 -
security ipsec policy delete3 -
security ipsec policy modify3 -
security login create -
security login delete -
security login modify -
security login publickey create -
security login publickey delete -
security login publickey modify -
security key-manager onboard update-passphrase3 -
security saml-sp create3 -
security saml-sp delete3 -
security saml-sp modify3 -
security webauthn credentials delete4 -
snaplock legal-hold end3 -
storage aggregate delete3 -
storage aggregate offline4 -
storage encryption disk destroy3 -
storage encryption disk modify3 -
storage encryption disk revert-to-original-state3 -
storage encryption disk sanitize3 -
system bridge run-cli3 -
system controller flash-cache secure-erase run3 -
system controller service-event delete3 -
system health alert delete3 -
system health alert modify3 -
system health policy definition modify3 -
system node autosupport modify3 -
system node autosupport trigger modify3 -
system node coredump delete3 -
system node coredump delete-all3 -
system node hardware nvram-encryption modify3 -
system node run -
system node systemshell -
system script delete3 -
system service-processor ssh add-allowed-addresses3 -
system service-processor ssh remove-allowed-addresses3 -
system smtape restore3 -
system switch ethernet log disable-collection3 -
system switch ethernet log modify3 -
timezone3 -
volume create3 -
volume delete -
volume encryption conversion start4 -
volume encryption rekey start4 -
volume file privileged-delete3 -
volume flexcache delete -
volume modify3 -
volume recovery-queue modify2 -
volume recovery-queue purge2 -
volume recovery-queue purge-all2 -
volume snaplock modify1 -
volume snapshot autodelete modify -
volume snapshot create3 -
volume snapshot delete -
volume snapshot modify3 -
volume snapshot policy add-schedule -
volume snapshot policy create -
volume snapshot policy delete -
volume snapshot policy modify -
volume snapshot policy modify-schedule -
volume snapshot policy remove-schedule -
volume snapshot rename3 -
volume snapshot restore -
vserver audit create3 -
vserver audit delete3 -
vserver audit disable3 -
vserver audit modify3 -
vserver audit rotate-log3 -
vserver create2 -
vserver consistency-group create4 -
vserver consistency-group delete4 -
vserver consistency-group modify4 -
vserver consistency-group snapshot create4 -
vserver consistency-group snapshot delete4 -
vserver delete3 -
vserver modify2 -
vserver object-store-server audit create3 -
vserver object-store-server audit delete3 -
vserver object-store-server audit disable3 -
vserver object-store-server audit modify3 -
vserver object-store-server audit rotate-log3 -
vserver object-store-server bucket cors-rule create4 -
vserver object-store-server bucket cors-rule delete4 -
vserver options3 -
vserver peer delete -
vserver security file-directory apply3 -
vserver security file-directory remove-slag3 -
vserver stop4 -
vserver vscan disable3 -
vserver vscan on-access-policy create3 -
vserver vscan on-access-policy delete3 -
vserver vscan on-access-policy disable3 -
vserver vscan on-access-policy modify3 -
vserver vscan scanner-pool create3 -
vserver vscan scanner-pool delete3 -
vserver vscan scanner-pool modify3
-
cluster date modify3 -
cluster log-forwarding create3 -
cluster log-forwarding delete3 -
cluster log-forwarding modify3 -
cluster peer delete -
cluster time-service ntp server create3 -
cluster time-service ntp server delete3 -
cluster time-service ntp key create3 -
cluster time-service ntp key delete3 -
cluster time-service ntp key modify3 -
cluster time-service ntp server modify3 -
event config modify -
event config set-mail-server-password3 -
lun delete3 -
security anti-ransomware volume attack clear-suspect1 -
security anti-ransomware volume disable1 -
security anti-ransomware volume event-log modify2 -
security anti-ransomware volume pause1 -
security anti-ransomware vserver event-log modify2 -
security audit modify3 -
security ipsec config modify3 -
security ipsec policy create3 -
security ipsec policy delete3 -
security ipsec policy modify3 -
security login create -
security login delete -
security login modify -
security login publickey create -
security login publickey delete -
security login publickey modify -
security key-manager onboard update-passphrase3 -
security saml-sp create3 -
security saml-sp delete3 -
security saml-sp modify3 -
snaplock legal-hold end3 -
storage aggregate delete3 -
storage encryption disk destroy3 -
storage encryption disk modify3 -
storage encryption disk revert-to-original-state3 -
storage encryption disk sanitize3 -
system bridge run-cli3 -
system controller flash-cache secure-erase run3 -
system controller service-event delete3 -
system health alert delete3 -
system health alert modify3 -
system health policy definition modify3 -
system node autosupport modify3 -
system node autosupport trigger modify3 -
system node coredump delete3 -
system node coredump delete-all3 -
system node hardware nvram-encryption modify3 -
system node run -
system node systemshell -
system script delete3 -
system service-processor ssh add-allowed-addresses3 -
system service-processor ssh remove-allowed-addresses3 -
system smtape restore3 -
system switch ethernet log disable-collection3 -
system switch ethernet log modify3 -
timezone3 -
volume create3 -
volume delete -
volume file privileged-delete3 -
volume flexcache delete -
volume modify3 -
volume recovery-queue modify2 -
volume recovery-queue purge2 -
volume recovery-queue purge-all2 -
volume snaplock modify1 -
volume snapshot autodelete modify -
volume snapshot create3 -
volume snapshot delete -
volume snapshot modify3 -
volume snapshot policy add-schedule -
volume snapshot policy create -
volume snapshot policy delete -
volume snapshot policy modify -
volume snapshot policy modify-schedule -
volume snapshot policy remove-schedule -
volume snapshot rename3 -
volume snapshot restore -
vserver audit create3 -
vserver audit delete3 -
vserver audit disable3 -
vserver audit modify3 -
vserver audit rotate-log3 -
vserver create2 -
vserver delete3 -
vserver modify2 -
vserver object-store-server audit create3 -
vserver object-store-server audit delete3 -
vserver object-store-server audit disable3 -
vserver object-store-server audit modify3 -
vserver object-store-server audit rotate-log3 -
vserver options3 -
vserver peer delete -
vserver security file-directory apply3 -
vserver security file-directory remove-slag3 -
vserver vscan disable3 -
vserver vscan on-access-policy create3 -
vserver vscan on-access-policy delete3 -
vserver vscan on-access-policy disable3 -
vserver vscan on-access-policy modify3 -
vserver vscan scanner-pool create3 -
vserver vscan scanner-pool delete3 -
vserver vscan scanner-pool modify3
-
cluster peer delete -
event config modify -
security anti-ransomware volume attack clear-suspect1 -
security anti-ransomware volume disable1 -
security anti-ransomware volume event-log modify2 -
security anti-ransomware volume pause1 -
security anti-ransomware vserver event-log modify2 -
security login create -
security login delete -
security login modify -
security login publickey create -
security login publickey delete -
security login publickey modify -
system node run -
system node systemshell -
volume delete -
volume flexcache delete -
volume recovery-queue modify2 -
volume recovery-queue purge2 -
volume recovery-queue purge-all2 -
volume snaplock modify1 -
volume snapshot autodelete modify -
volume snapshot delete -
volume snapshot policy add-schedule -
volume snapshot policy create -
volume snapshot policy delete* -
volume snapshot policy modify -
volume snapshot policy modify-schedule -
volume snapshot policy remove-schedule -
volume snapshot restore -
vserver create2 -
vserver modify2 -
vserver peer delete
-
cluster peer delete -
event config modify -
security anti-ransomware volume attack clear-suspect1 -
security anti-ransomware volume disable1 -
security anti-ransomware volume pause1 -
security login create -
security login delete -
security login modify -
security login publickey create -
security login publickey delete -
security login publickey modify -
system node run -
system node systemshell -
volume delete -
volume flexcache delete -
volume snaplock modify1 -
volume snapshot autodelete modify -
volume snapshot delete -
volume snapshot policy add-schedule -
volume snapshot policy create -
volume snapshot policy delete* -
volume snapshot policy modify -
volume snapshot policy modify-schedule -
volume snapshot policy remove-schedule -
volume snapshot restore -
vserver peer delete
-
cluster peer delete -
event config modify -
security login create -
security login delete -
security login modify -
security login publickey create -
security login publickey delete -
security login publickey modify -
system node run -
system node systemshell -
volume delete -
volume flexcache delete -
volume snapshot autodelete modify -
volume snapshot delete -
volume snapshot policy add-schedule -
volume snapshot policy create -
volume snapshot policy delete* -
volume snapshot policy modify -
volume snapshot policy modify-schedule -
volume snapshot policy remove-schedule -
volume snapshot restore -
vserver peer delete
-
9.13.1の新しいrule-protectedコマンド
-
9.14.1の新しいrule-protectedコマンド
-
9.15.1の新しいrule-protectedコマンド
-
9.16.1の新しいrule-protectedコマンド
-
9.17.1で新規追加されたルール保護コマンド
*このコマンドはCLIでのみ使用でき、一部のリリースではSystem Managerでは使用できません。
マルチ管理者承認の仕組み
MAVで保護されたクラスタで保護された操作が入力されると、指定されたMAV管理者グループに操作実行要求が送信されます。
次の設定が可能です。
-
MAVグループ内の管理者の名前、連絡先情報、および数。
MAV管理者には、クラスタ管理者権限のあるRBACロールが必要です。
-
MAV管理者グループの数。
-
保護対象処理ルールごとにMAVグループが割り当てられます。
-
MAVグループが複数ある場合は、どのMAVグループが特定のルールを承認するかを設定できます。
-
-
保護対象処理を実行するために必要なMAV承認者の数。
-
MAV管理者が承認要求に応答する必要がある_承認の失効_期間。
-
要求元の管理者が処理を完了する必要がある_実行のexpiry_period。
これらのパラメータを設定したら、変更するにはMAV承認が必要です。
MAV管理者は、保護された操作の実行要求を自分で承認することはできません。そのため、
-
MAVは、管理者が1人だけのクラスタでは有効にしないでください。
-
MAVグループに1人しかいない場合、そのMAV管理者は保護された操作を開始できません。通常の管理者は保護された操作を開始する必要があり、MAV管理者は承認のみを実行できます。
-
MAV管理者が保護された操作を実行できるようにするには、MAV管理者の数が必要な承認の数より1つ多い必要があります。たとえば、保護された操作に2つの承認が必要で、MAV管理者にそれらの承認を実行させる場合、MAV管理者グループには3人のユーザーが必要です。
MAV管理者は、電子メールアラートで承認リクエストを受信することも(EMSを使用して)、リクエストキューを照会することもできます。リクエストを受け取ると、次の3つのアクションのいずれかを実行できます。
-
承認
-
拒否(拒否)
-
無視(アクションなし)
次の場合、MAVルールに関連付けられたすべての承認者に電子メール通知が送信されます。
-
リクエストが作成されます。
-
リクエストが承認または拒否された場合。
-
承認されたリクエストが実行されました。
リクエスト者が操作の同じ承認グループに属している場合は、リクエストが承認されると電子メールが送信されます。
|
|
リクエスト者は、自分のリクエストが承認グループに含まれていても、自分のリクエストを承認することはできません(ただし、自分のリクエストの電子メール通知を受け取ることはできます)。承認グループに属していないリクエスト者(つまり、MAV管理者でないリクエスト者)は、電子メール通知を受信しません。 |
保護された処理の実行の仕組み
保護された操作の実行が承認されると、要求元のユーザーはプロンプトが表示されたときに操作を続行します。処理が拒否された場合、要求元ユーザは処理を続行する前に要求を削除する必要があります。
MAVルールはRBACの権限の後に評価されます。そのため、操作を実行するための十分なRBAC権限を持たないユーザーは、MAV要求プロセスを開始できません。
MAVルールは、保護された操作が実行される前に評価されます。つまり、ルールはシステムの現在の状態に基づいて適用されます。例えば、MAVルールが以下の目的で作成された場合、 volume modify`クエリで `-size 5GB 、使用 volume modify 5GB のボリュームを 2GB にサイズ変更するには MAV の承認が必要ですが、2GB のボリュームを 5GB にサイズ変更する場合は必要ありません。