保護された操作ルールを管理します
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
MAV(Multi-admin Verification)ルールを作成して、承認が必要な操作を指定します。操作が開始されるたびに、保護された操作が妨害され、承認の要求が生成されます。
ルールは任意の管理者が適切なRBAC機能を使用してMAVを有効にする前に作成できますが、MAVを有効にすると、ルールセットを変更するにはMAV承認が必要になります。
1回の操作で作成できるMAVルールは1つだけです。たとえば、複数のMAVルールを作成することはできません。 volume-snapshot-delete
ルール。必要なルール制約は1つのルール内に含める必要があります。
保護するルールを作成できます。 "これらのコマンド"。各コマンドは、コマンドの保護機能が最初に使用可能になったONTAPバージョン以降で保護できます。
MAV system-defaultコマンドのルール security multi-admin-verify
"コマンド"を変更することはできません。
システム定義の操作に加えて、次のコマンドは、マルチ管理者検証が有効になっている場合にデフォルトで保護されますが、これらのコマンドの保護を解除するルールを変更することができます。
-
security login password
-
security login unlock
-
set
ルール制約
ルールを作成するときに、オプションでを指定できます -query
要求をコマンド機能のサブセットに制限するオプション。。 -query
オプションを使用すると、SVM、ボリューム、Snapshot名などの構成要素を制限することもできます。
例えば、 volume snapshot delete
コマンド、 -query
次のように設定できます。 `-snapshot !hourly*,!daily*,!weekly*`つまり、hourly、daily、またはweekly属性のプレフィックスが付いたボリュームSnapshotは、MAV保護から除外されます。
smci-vsim20::> security multi-admin-verify rule show Required Approval Vserver Operation Approvers Groups ------- -------------------------------------- --------- ------------- vs01 volume snapshot delete - - Query: -snapshot !hourly*,!daily*,!weekly*
除外された構成要素はMAVによって保護されず、管理者はそれらを削除または名前変更できます。 |
デフォルトでは、ルールは対応するを指定します security multi-admin-verify request create “protected_operation”
保護されたオペレーションが入力されると、コマンドが自動的に生成されます。このデフォルトを変更して、が必要になるようにすることができます request create
コマンドは別 々 に入力します。
デフォルトでは、ルール固有の例外を指定できますが、ルールは次のグローバルMAV設定を継承します。
-
承認者の必要数
-
承認グループ
-
承認の有効期限
-
実行の有効期限
System Manager の手順の略
保護された処理ルールを初めて追加する場合は、System Managerの手順 を参照してください "マルチ管理者検証を有効にします。"
既存のルールセットを変更するには:
-
[* Cluster]>[Settings](設定)*を選択します。
-
セクションの[マルチ管理者の承認]*の横にあるを選択します 。
-
少なくとも1つのルールを追加する場合に選択し ます。既存のルールを変更または削除することもできます。
-
operation–サポートされているコマンドをリストから選択します。
-
Query–必要なコマンドオプションと値を入力します。
-
オプションのパラメータ–グローバル設定を適用する場合は空欄のままにします。グローバル設定を上書きする場合は、特定のルールに別の値を割り当てます。
-
必要な承認者の数
-
承認グループ
-
-
CLI 手順の略
すべて security multi-admin-verify rule コマンドを実行するには、以外のMAV管理者の承認が必要です security multi-admin-verify rule show 。
|
実行する処理 | 入力するコマンド |
---|---|
ルールを作成します |
|
現在の管理者のクレデンシャルの変更 |
例:次のルールでは、ルートボリュームの削除が承認されている必要があります。
|
ルールを変更します |
|
ルールを削除します |
|
ルールを表示します |
|
コマンド構文の詳細については、を参照してください security multi-admin-verify rule
マニュアルページ