マルチ管理者検証の概要
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
ONTAP 9.11.1以降では、マルチ管理検証(MAV)を使用して、ボリュームやSnapshotコピーの削除などの特定の処理を、指定した管理者からの承認がないと実行できないようにすることができます。これにより、侵害を受けた管理者、悪意のある管理者、または経験の浅い管理者が、望ましくない変更やデータの削除を行うことを防止でき
マルチ管理者検証の設定は、次のとおりです。
初期設定後、これらの要素はMAV承認グループ(MAV管理者)の管理者のみが変更できます。
マルチ管理者検証を有効にすると、保護されたすべての処理が完了するために次の3つの手順が必要となります。
-
ユーザが処理を開始すると、が実行されます "要求が生成されます。"
-
実行する前に、少なくとも1つは必要です "MAV管理者は承認する必要があります。"
-
承認されると、ユーザーは操作を完了します。
複数管理者による検証は、自動化の負荷が大きいボリュームやワークフローでは使用しないことを想定しています。自動化された各タスクを完了するには承認が必要なためです。 オートメーションとMAVを併用する場合は、MAVの特定の操作にクエリを使用することをお勧めします。たとえば、適用できます volume delete
MAVルールは、自動化が関係しないボリュームにのみ適用され、特定の命名規則を使用して指定できます。
MAVの管理者の承認なしでマルチ管理者検証機能を無効にする必要がある場合は、ネットアップサポートに連絡して、次の技術情報アーティクルを記載します。 "MAV管理者が利用できない場合にマルチ管理者検証を無効にする方法"。 |
マルチ管理者検証の仕組み
マルチ管理者検証は、次の要素で構成されます。
-
承認権限と拒否権を持つ1人以上の管理者のグループ。
-
保護された操作またはコマンドのセット(a_rules table_)
-
a_rulesエンジン_保護されたオペレーションの実行を識別および制御します
MAVルールは、Role-Based Access Control(RBAC;ロールベースアクセス制御)ルールのあとに評価されます。このため、保護された操作を実行または承認する管理者は、それらの操作に対する最低限のRBAC権限を持っている必要があります。 "RBACの詳細については、こちらをご覧ください。"
システム定義のルール
マルチ管理者検証を有効にすると、システム定義のルール(_guard-rale_rulesとも呼ばれます)によってMAV処理のセットが確立され、MAVプロセス自体が回避されるリスクが含まれます。これらの操作をルールテーブルから削除することはできません。MAVを有効にすると、アスタリスク()で指定された操作は、実行前に1人以上の管理者による承認を必要とします。ただし、 show *コマンドは除きます。
-
security multi-admin-verify modify
操作*管理者による検証機能の設定を制御します。
-
security multi-admin-verify approval-group
操作*管理者による検証クレデンシャルを使用して、一連の管理者のメンバーシップを制御します。
-
security multi-admin-verify rule
操作*管理者による検証が必要な一連のコマンドを制御します。
-
security multi-admin-verify request
操作承認プロセスを制御します。
ルールで保護されたコマンド
マルチ管理者検証を有効にした場合、システム定義のコマンドに加えて次のコマンドもデフォルトで保護されますが、これらのコマンドの保護を解除するようにルールを変更することができます。
-
security login password
-
security login unlock
-
set
ONTAP 9.11.1以降のリリースでは、次のコマンドを保護できます。
|
|
ONTAP 9.13.1以降では、次のコマンドを保護できます。
-
volume snaplock modify
-
security anti-ransomware volume attack clear-suspect
-
security anti-ransomware volume disable
-
security anti-ransomware volume pause
ONTAP 9.14.1以降では、次のコマンドを保護できます。
-
volume recovery-queue modify
-
volume recovery-queue purge
-
volume recovery-queue purge-all
-
vserver modify
複数管理者による承認の仕組み
保護された操作がMAV保護されたクラスタで入力されると、操作の実行要求が指定されたMAV管理者グループに送信されます。
次の項目を設定できます。
-
MAVグループ内の管理者の名前、連絡先情報、および数。
MAV管理者には、クラスタ管理者権限を持つRBACロールが必要です。
-
MAV管理者グループの数。
-
MAVグループは、保護された各操作ルールに割り当てられます。
-
複数のMAVグループの場合、どのMAVグループが特定のルールを承認するかを設定できます。
-
-
保護された操作を実行するために必要なMAV承認の数。
-
MAV管理者が承認要求に応答する必要がある_承認の失効_期間。
-
要求元の管理者が処理を完了する必要がある_実行のexpiry_period。
これらのパラメータを設定したら、MAV承認が必要です。
MAV管理者は、保護された操作を実行するための独自の要求を承認できません。そのため、次の
-
管理者が1人だけのクラスタではMAVを有効にしないでください。
-
MAVグループにユーザーが1人しかいない場合、MAV管理者は保護された操作を入力できません。通常の管理者は、これらの操作を入力する必要があり、MAV管理者は承認のみを行えます。
-
MAV管理者が保護された操作を実行できるようにするには、MAV管理者の数が、必要な承認数よりも1人大きくなければなりません。 たとえば、保護された操作に2つの承認が必要で、MAV管理者がそれらを実行する場合、MAV管理者グループには3人の承認が必要です。
MAV管理者は、(EMSを使用して)Eメールアラートで承認要求を受信するか、要求キューを照会できます。 リクエストを受け取った場合、次の3つのアクションのいずれかを実行できます。
-
承認します
-
拒否(拒否)
-
無視(操作なし)
MAVルールに関連付けられているすべての承認者に電子メール通知が送信されるのは、次の場合です。
-
リクエストが作成されました。
-
リクエストが承認または拒否された場合。
-
承認されたリクエストが実行されます。
リクエスト者が同じ承認グループに属している場合は、リクエストが承認されると電子メールが送信されます。
*注:*リクエスト者は、承認グループに属している場合でも、リクエスト者自身のリクエストを承認できません。ただし、Eメール通知を受け取ることはできます。承認グループに属していない(つまり、MAV管理者ではない)リクエスタは、電子メール通知を受信しません。
保護された操作の実行の仕組み
保護された操作の実行が承認されると、要求されたユーザーは操作を続行します。処理が拒否された場合、要求元ユーザは処理を続行する前に要求を削除する必要があります。
MAVルールはRBAC権限の後に評価されます。そのため、操作の実行に十分なRBACアクセス許可がないユーザーはMAV要求プロセスを開始できません。