日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPマルチ管理者検証の概要

共同作成者

ONTAP 9 .11.1以降では、Multi-Admin Verification（MAV；マルチ管理者認証）を使用して、ボリュームやSnapshotコピーの削除などの特定の処理を、指定した管理者の承認後にのみ実行できるようにすることができます。これにより、侵害された管理者や悪意のある管理者、経験の浅い管理者が望ましくない変更やデータ削除を行うのを防ぐことができます。

マルチ管理者検証の構成は次のとおりです。

初期設定後にこれらの要素を変更できるのは、MAV承認グループの管理者（MAV管理者）のみです。

マルチ管理者認証が有効な場合、保護対象処理を完了するには次の手順が必要です。

ユーザが処理を開始すると、 "要求が生成されます。"
操作を実行する前に、少なくとも1つの"MAV管理者は承認する必要があります。"
承認されると、ユーザーはプロンプトを表示して操作を完了します。

MAV管理者の承認を得ずにマルチ管理者認証機能を無効にする必要がある場合は、NetAppサポートに連絡し、次の記事を記載してください。 "MAV管理者が利用できない場合にマルチ管理者検証を無効にする方法"

複数管理者による検証は、高度な自動化を伴うボリュームやワークフローでは使用しません。自動化された各タスクは、処理を完了する前に承認が必要になるためです。自動化とMAVを一緒に使用する場合は、特定のMAV操作にクエリを使用することをお勧めします。たとえば、自動化が関係していないボリュームにのみMAVルールを適用し、特定の命名方式でそれらのボリュームを指定でき `volume delete`ます。

Cloud Volumes ONTAPでは、マルチ管理者認証は使用できません。

マルチ管理者認証の仕組み

マルチ管理者認証は次の要素で構成されます。

承認権と拒否権を持つ1人以上の管理者のグループ。
保護された操作またはコマンドのセット（a_rules table_）
a_rulesエンジン_保護されたオペレーションの実行を識別および制御します

MAVルールは、Role-Based Access Control（RBAC；ロールベースアクセス制御）ルールのあとに評価されます。したがって、保護された処理を実行または承認する管理者は、それらの処理に対して最低限必要なRBAC Privilegesをすでに所有している必要があります。"RBACの詳細については、こちらをご覧ください"です。

システム定義のルール

マルチ管理者検証を有効にすると、システム定義のルール（_guard-rale_rulesとも呼ばれます）によってMAV処理のセットが確立され、MAVプロセス自体が回避されるリスクが含まれます。これらの操作をルールテーブルから削除することはできません。MAVを有効にすると、アスタリスク（）で指定された操作は、実行前に1人以上の管理者による承認を必要とします。ただし、 show *コマンドは除きます。

security multi-admin-verify modify`操作 `*

マルチ管理者検証機能の構成を制御します。
security multi-admin-verify approval-group`運用 `*

マルチ管理者認証資格情報を使用して、管理者セットのメンバーシップを制御します。
security multi-admin-verify rule`運用 `*

複数管理者による検証を必要とする一連のコマンドを制御します。
`security multi-admin-verify request`運用

承認プロセスを制御します。

ルール保護コマンド

システム定義の操作に加えて、次のコマンドは、マルチ管理者検証が有効になっている場合にデフォルトで保護されますが、これらのコマンドの保護を解除するルールを変更することができます。

security login password
security login unlock
set

各ONTAPバージョンでは、マルチ管理者認証ルールで保護できるコマンドが上記以外にも用意されています。保護可能なコマンドの全一覧を確認するには、お使いのONTAPリリースを選択してください。

9.16.1

cluster date modify³
cluster log-forwarding create³
cluster log-forwarding delete³
cluster log-forwarding modify³
cluster peer delete
cluster time-service ntp server create³
cluster time-service ntp server delete³
cluster time-service ntp server key create³
cluster time-service ntp server key delete³
cluster time-service ntp server key modify³
cluster time-service ntp server modify³
event config modify
lun delete³
security anti-ransomware volume attack clear-suspect¹
security anti-ransomware volume disable¹
security anti-ransomware volume event-log modify²
security anti-ransomware volume pause¹
security anti-ransomware vserver event-log modify²
security audit modify³
security ipsec config modify³
security ipsec policy create³
security ipsec policy delete³
security ipsec policy modify³
security login create
security login delete
security login modify
security key-manager onboard update-passphrase³
security saml-sp create³
security saml-sp delete³
security saml-sp modify³
snaplock legal-hold end³
storage aggregate delete³
storage aggregate offline⁴
storage encryption disk destroy³
storage encryption disk modify³
storage encryption disk revert-to-original-state³
storage encryption disk sanitize³
system bridge run-cli³
system controller flash-cache secure-erase run³
system controller service-event delete³
system health alert delete³
system health alert modify³
system health policy definition modify³
system node autosupport modify³
system node autosupport trigger modify³
system node coredump delete³
system node coredump delete-all³
system node hardware nvram-encryption modify³
system node run
system node systemshell
system script delete³
system service-processor ssh add-allowed-addresses³
system service-processor ssh remove-allowed-addresses³
system smtape restore³
system switch ethernet log disable-collection³
system switch ethernet log modify³
timezone³
volume create³
volume delete
volume encryption conversion start⁴
volume encryption rekey start⁴
volume file privileged-delete³
volume flexcache delete
volume modify³
volume recovery-queue modify²
volume recovery-queue purge²
volume recovery-queue purge-all²
volume snaplock modify¹
volume snapshot autodelete modify
volume snapshot create³
volume snapshot delete
volume snapshot modify³
volume snapshot policy add-schedule
volume snapshot policy create
volume snapshot policy delete
volume snapshot policy modify
volume snapshot policy modify-schedule
volume snapshot policy remove-schedule
volume snapshot rename³
volume snapshot restore
vserver audit create³
vserver audit delete³
vserver audit disable³
vserver audit modify³
vserver audit rotate-log³
vserver create²
vserver consistency-group create⁴
vserver consistency-group delete⁴
vserver consistency-group modify⁴
vserver consistency-group snapshot create⁴
vserver consistency-group snapshot delete⁴
vserver delete³
vserver modify²
vserver object-store-server audit create³
vserver object-store-server audit delete³
vserver object-store-server audit disable³
vserver object-store-server audit modify³
vserver object-store-server audit rotate-log³
vserver options³
vserver peer delete
vserver security file-directory apply³
vserver security file-directory remove-slag³
vserver stop⁴
vserver vscan disable³
vserver vscan on-access-policy create³
vserver vscan on-access-policy delete³
vserver vscan on-access-policy disable³
vserver vscan on-access-policy modify³
vserver vscan scanner-pool create³
vserver vscan scanner-pool delete³
vserver vscan scanner-pool modify³

9.15.1

cluster date modify³
cluster log-forwarding create³
cluster log-forwarding delete³
cluster log-forwarding modify³
cluster peer delete
cluster time-service ntp server create³
cluster time-service ntp server delete³
cluster time-service ntp server key create³
cluster time-service ntp server key delete³
cluster time-service ntp server key modify³
cluster time-service ntp server modify³
event config modify
lun delete³
security anti-ransomware volume attack clear-suspect¹
security anti-ransomware volume disable¹
security anti-ransomware volume event-log modify²
security anti-ransomware volume pause¹
security anti-ransomware vserver event-log modify²
security audit modify³
security ipsec config modify³
security ipsec policy create³
security ipsec policy delete³
security ipsec policy modify³
security login create
security login delete
security login modify
security key-manager onboard update-passphrase³
security saml-sp create³
security saml-sp delete³
security saml-sp modify³
snaplock legal-hold end³
storage aggregate delete³
storage encryption disk destroy³
storage encryption disk modify³
storage encryption disk revert-to-original-state³
storage encryption disk sanitize³
system bridge run-cli³
system controller flash-cache secure-erase run³
system controller service-event delete³
system health alert delete³
system health alert modify³
system health policy definition modify³
system node autosupport modify³
system node autosupport trigger modify³
system node coredump delete³
system node coredump delete-all³
system node hardware nvram-encryption modify³
system node run
system node systemshell
system script delete³
system service-processor ssh add-allowed-addresses³
system service-processor ssh remove-allowed-addresses³
system smtape restore³
system switch ethernet log disable-collection³
system switch ethernet log modify³
timezone³
volume create³
volume delete
volume file privileged-delete³
volume flexcache delete
volume modify³
volume recovery-queue modify²
volume recovery-queue purge²
volume recovery-queue purge-all²
volume snaplock modify¹
volume snapshot autodelete modify
volume snapshot create³
volume snapshot delete
volume snapshot modify³
volume snapshot policy add-schedule
volume snapshot policy create
volume snapshot policy delete
volume snapshot policy modify
volume snapshot policy modify-schedule
volume snapshot policy remove-schedule
volume snapshot rename³
volume snapshot restore
vserver audit create³
vserver audit delete³
vserver audit disable³
vserver audit modify³
vserver audit rotate-log³
vserver create²
vserver delete³
vserver modify²
vserver object-store-server audit create³
vserver object-store-server audit delete³
vserver object-store-server audit disable³
vserver object-store-server audit modify³
vserver object-store-server audit rotate-log³
vserver options³
vserver peer delete
vserver security file-directory apply³
vserver security file-directory remove-slag³
vserver vscan disable³
vserver vscan on-access-policy create³
vserver vscan on-access-policy delete³
vserver vscan on-access-policy disable³
vserver vscan on-access-policy modify³
vserver vscan scanner-pool create³
vserver vscan scanner-pool delete³
vserver vscan scanner-pool modify³

9.14.1

cluster peer delete
event config modify
security anti-ransomware volume attack clear-suspect¹
security anti-ransomware volume disable¹
security anti-ransomware volume event-log modify²
security anti-ransomware volume pause¹
security anti-ransomware vserver event-log modify²
security login create
security login delete
security login modify
system node run
system node systemshell
volume delete
volume flexcache delete
volume recovery-queue modify²
volume recovery-queue purge²
volume recovery-queue purge-all²
volume snaplock modify¹
volume snapshot autodelete modify
volume snapshot delete
volume snapshot policy add-schedule
volume snapshot policy create
volume snapshot policy delete*
volume snapshot policy modify
volume snapshot policy modify-schedule
volume snapshot policy remove-schedule
volume snapshot restore
vserver create²
vserver modify²
vserver peer delete

9.13.1

cluster peer delete
event config modify
security anti-ransomware volume attack clear-suspect¹
security anti-ransomware volume disable¹
security anti-ransomware volume pause¹
security login create
security login delete
security login modify
system node run
system node systemshell
volume delete
volume flexcache delete
volume snaplock modify¹
volume snapshot autodelete modify
volume snapshot delete
volume snapshot policy add-schedule
volume snapshot policy create
volume snapshot policy delete*
volume snapshot policy modify
volume snapshot policy modify-schedule
volume snapshot policy remove-schedule
volume snapshot restore
vserver peer delete

9.12.1/9.11.1

cluster peer delete
event config modify
security login create
security login delete
security login modify
system node run
system node systemshell
volume delete
volume flexcache delete
volume snapshot autodelete modify
volume snapshot delete
volume snapshot policy add-schedule
volume snapshot policy create
volume snapshot policy delete*
volume snapshot policy modify
volume snapshot policy modify-schedule
volume snapshot policy remove-schedule
volume snapshot restore
vserver peer delete

9.13.1の新しいrule-protectedコマンド
9.14.1の新しいrule-protectedコマンド
9.15.1の新しいrule-protectedコマンド
9.16.1の新しいrule-protectedコマンド

*このコマンドはCLIでのみ使用でき、一部のリリースではSystem Managerでは使用できません。

マルチ管理者承認の仕組み

MAVで保護されたクラスタで保護された操作が入力されると、指定されたMAV管理者グループに操作実行要求が送信されます。

次の設定が可能です。

MAVグループ内の管理者の名前、連絡先情報、および数。

MAV管理者には、クラスタ管理者権限のあるRBACロールが必要です。
MAV管理者グループの数。
- 保護対象処理ルールごとにMAVグループが割り当てられます。
- MAVグループが複数ある場合は、どのMAVグループが特定のルールを承認するかを設定できます。
保護対象処理を実行するために必要なMAV承認者の数。
MAV管理者が承認要求に応答する必要がある_承認の失効_期間。
要求元の管理者が処理を完了する必要がある_実行のexpiry_period。

これらのパラメータを設定したら、変更するにはMAV承認が必要です。

MAV管理者は、保護された操作の実行要求を自分で承認することはできません。そのため、

MAVは、管理者が1人だけのクラスタでは有効にしないでください。
MAVグループに1人しかいない場合、そのMAV管理者は保護された操作を開始できません。通常の管理者は保護された操作を開始する必要があり、MAV管理者は承認のみを実行できます。
MAV管理者が保護された操作を実行できるようにするには、MAV管理者の数が必要な承認の数より1つ多い必要があります。たとえば、保護された操作に2つの承認が必要で、MAV管理者にそれらの承認を実行させる場合、MAV管理者グループには3人のユーザーが必要です。

MAV管理者は、電子メールアラートで承認リクエストを受信することも（EMSを使用して）、リクエストキューを照会することもできます。リクエストを受け取ると、次の3つのアクションのいずれかを実行できます。

承認
拒否（拒否）
無視（アクションなし）

次の場合、MAVルールに関連付けられたすべての承認者に電子メール通知が送信されます。

リクエストが作成されます。
リクエストが承認または拒否された場合。
承認されたリクエストが実行されました。

リクエスト者が操作の同じ承認グループに属している場合は、リクエストが承認されると電子メールが送信されます。

リクエスト者は、自分のリクエストが承認グループに含まれていても、自分のリクエストを承認することはできません（ただし、自分のリクエストの電子メール通知を受け取ることはできます）。承認グループに属していないリクエスト者（つまり、MAV管理者でないリクエスト者）は、電子メール通知を受信しません。

保護された処理の実行の仕組み

保護された操作の実行が承認されると、要求元のユーザーはプロンプトが表示されたときに操作を続行します。処理が拒否された場合、要求元ユーザは処理を続行する前に要求を削除する必要があります。

MAVルールはRBACの権限の後に評価されます。そのため、操作を実行するための十分なRBAC権限を持たないユーザーは、MAV要求プロセスを開始できません。