ONTAPでMAV保護操作リクエストを管理する
変更を提案
PDF
MAV承認グループ(MAV管理者)の管理者は、保留中の処理実行要求の通知を受けた場合、一定時間(承認有効期限)内に承認または拒否のメッセージで応答する必要があります。十分な数の承認が得られない場合、要求者は要求を削除して、別の要求を行う必要があります。
承認要求はインデックス番号で識別され、Eメール メッセージおよび要求キューに表示されます。
|
multi-admin-verify 終了状態のリクエストは自動的に上書きまたは削除される可能性があります。"監査ログ" を使用して以前のリクエストを確認してください。
|
要求キューには次の情報が表示されます。
- 処理
-
リクエストが作成される保護された操作。
- クエリ
-
ユーザーが操作を適用するオブジェクト(複数可)。
- 状態
-
リクエストの現在の状態(保留中、承認済み、拒否、期限切れ、実行済み)。リクエストがいずれかの承認者によって拒否された場合、それ以上のアクションは実行できません。
- 必要な承認者
-
リクエストを承認するために必要なMAV管理者の数。ユーザーは操作ルールにrequired-approversパラメータを設定できます。ユーザーがルールにrequired-approversを設定していない場合は、グローバル設定のrequired-approversが適用されます。
- 承認待ちの承認者
-
リクエストが承認済みとしてマークされるために、リクエストを承認する必要がある MAV 管理者の数。
- 承認の有効期限
-
MAV管理者が承認要求に応答する必要がある期間。権限のあるユーザーは、操作ルールの承認期限を設定できます。ルールに承認期限が設定されていない場合は、グローバル設定の承認期限が適用されます。
- 実行の有効期限
-
要求元の管理者が操作を完了しなければならない期間。権限のあるユーザーは誰でも操作ルールのexecution-expiryを設定できます。ルールにexecution-expiryが設定されていない場合は、グローバル設定のexecution-expiryが適用されます。
- 承認されたユーザー
-
リクエストを承認した MAV 管理者。
- ユーザーが拒否しました
-
リクエストを拒否した MAV 管理者。
- ストレージVM(vserver)
-
リクエストが関連付けられている SVM。このリリースでは、管理 SVM のみがサポートされます。
- ユーザーがリクエストした
-
リクエストを作成したユーザーのユーザー名。
- 作成時刻
-
リクエストが作成された時刻。
- 承認された時間
-
リクエストの状態が承認済みに変更された時刻。
- コメント
-
リクエストに関連付けられているコメント。
- 許可されたユーザー
-
リクエストが承認された保護された操作の実行を許可されているユーザーのリスト。 `users-permitted`が空の場合、適切な権限を持つすべてのユーザーが操作を実行できます。
MAV管理者は、承認リクエストの詳細、リクエストの有効期限、リクエストを承認または拒否するためのリンクが記載されたメールを受け取ります。メール内のリンクをクリックするか、System Managerの*イベントとジョブ > リクエスト*に移動することで、承認ダイアログにアクセスできます。
Requests ウィンドウは、マルチ管理者検証が有効になっている場合に使用でき、ユーザーのログイン ID と MAV ロール(承認者かどうか)に基づいて保留中のリクエストが表示されます。
-
処理
-
Index(番号)
-
Status(Pending、Approved、Rejected、Executed、Expired)
承認者が1人でも要求を却下した場合、それ以上の操作を行うことはできません。
-
Query(要求された処理のパラメータまたは値)
-
Requesting User
-
Request Expires On
-
Pending Approvers(人数)
-
Potential Approvers(人数)
MAV管理者は、このウィンドウで個々の処理または複数の処理を承認、却下、削除できます。ただし、MAV管理者が要求元ユーザである場合、自身の要求を承認、却下、削除することはできません。
-
承認待ちのリクエストがメールで通知された場合は、リクエストのインデックス番号と承認期限を必ずご確認ください。インデックス番号は、下記の*show*または*show-pending*オプションを使用して表示することもできます。
-
要求を承認または拒否します。
次の操作を行う場合: 入力するコマンド リクエストを承認する
security multi-admin-verify request approve nnリクエストを拒否する
security multi-admin-verify request veto nnすべてのリクエスト、保留中のリクエスト、または単一のリクエストを表示します
`security multi-admin-verify request { show
show-pending } [nn] { -fields field1[,field2…]
[-instance ] }`
キュー内のすべてのリクエストを表示するか、保留中のリクエストのみを表示できます。インデックス番号を入力すると、その番号の情報のみが表示されます。特定のフィールドに関する情報( `-fields`パラメータを使用)、またはすべてのフィールドに関する情報( `-instance`パラメータを使用)を表示できます。
リクエストを削除する
security multi-admin-verify request delete nn
次の例では、MAV管理者が、インデックス番号3の要求のEメールを受信したあとに要求を承認します。この要求はすでに1件の承認を獲得しています。
cluster1::> security multi-admin-verify request show-pending
Pending
Index Operation Query State Approvers Requestor
----- -------------- ----- ------- --------- ---------
3 volume delete - pending 1 julia
cluster-1::> security multi-admin-verify request approve 3
cluster-1::> security multi-admin-verify request show 3
Request Index: 3
Operation: volume delete
Query: -
State: approved
Required Approvers: 2
Pending Approvers: 0
Approval Expiry: 2/25/2022 14:32:03
Execution Expiry: 2/25/2022 14:35:36
Approvals: mav-admin2
User Vetoed: -
Vserver: cluster-1
User Requested: julia
Time Created: 2/25/2022 13:32:03
Time Approved: 2/25/2022 13:35:36
Comment: -
Users Permitted: -
次の例は、MAV管理者が、インデックス番号3の要求のEメールを受信したあとに要求を拒否します。この要求はすでに1件の承認を獲得しています。
cluster1::> security multi-admin-verify request show-pending
Pending
Index Operation Query State Approvers Requestor
----- -------------- ----- ------- --------- ---------
3 volume delete - pending 1 pavan
cluster-1::> security multi-admin-verify request veto 3
cluster-1::> security multi-admin-verify request show 3
Request Index: 3
Operation: volume delete
Query: -
State: vetoed
Required Approvers: 2
Pending Approvers: 0
Approval Expiry: 2/25/2022 14:32:03
Execution Expiry: 2/25/2022 14:35:36
Approvals: mav-admin1
User Vetoed: mav-admin2
Vserver: cluster-1
User Requested: pavan
Time Created: 2/25/2022 13:32:03
Time Approved: 2/25/2022 13:35:36
Comment: -
Users Permitted: -