Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPで保護された操作のマルチ管理者検証ルールを管理する

共同作成者 netapp-dbagwell netapp-aaron-holt netapp-forry netapp-aoife netapp-bhouser netapp-ahibbard netapp-lenida
PDF

マルチ管理者認証(MAV)ルールを作成して、承認が必要な処理を指定します。保護対象処理が開始されると、処理が傍受され、承認要求が生成されます。

ルールは、MAVを有効にする前であれば、適切なRBAC機能を持つ任意の管理者が作成できますが、MAVを有効にしたあとにルール セットを変更するにはMAVの承認が必要です。

1つの操作につき1つのMAVルールのみ作成できます。例えば、複数の `volume-snapshot-delete`ルールを作成することはできません。必要なルール制約はすべて、1つのルール内に含める必要があります。

"これらのコマンド"を保護するためのルールを作成できます。コマンドの保護機能が最初に利用可能になったONTAPバージョン以降、各コマンドを保護できます。

MAV システムのデフォルト コマンドのルール( security multi-admin-verify "コマンド")は変更できません。

システム定義の操作に加えて、マルチ管理者検証が有効になっている場合は次のコマンドがデフォルトで保護されますが、ルールを変更してこれらのコマンドの保護を削除できます:

ルールの制約

ルールを作成する際に、 `-query`オプションを任意で指定して、リクエストをコマンド機能のサブセットに制限できます。 `-query`オプションは、SVM、ボリューム、Snapshot名などの構成要素を制限するためにも使用できます。

たとえば、 `volume snapshot delete`コマンドでは、 `-query`を `-snapshot !hourly*,!daily*,!weekly*`に設定できます。これは、時間別、日次、または週次属性がプレフィックスとして付いたボリューム スナップショットが MAV 保護から除外されることを意味します。

smci-vsim20::> security multi-admin-verify rule show
                                               Required  Approval
Vserver Operation                              Approvers Groups
------- -------------------------------------- --------- -------------
vs01    volume snapshot delete                 -         -
          Query: -snapshot !hourly*,!daily*,!weekly*
メモ 除外された設定要素はMAVによって保護されず、どの管理者も削除したり名前を変更したりすることができます。

デフォルトでは、保護された操作が入力されると、対応する `security multi-admin-verify request create "protected_operation"`コマンドが自動的に生成されるようにルールが規定されています。このデフォルトを変更して、 `request create`コマンドを別途入力するように設定することもできます。

デフォルトでは、ルールは次のグローバルMAV設定を継承しますが、ルール固有の例外を指定できます。

  • Required Number of Approvers

  • Approval Groups

  • Approval Expiry period

  • Execution Expiry period

System Managerの手順

保護された操作ルールを初めて追加する場合は、System Managerの手順を参照してください。"複数管理者による検証を有効にします。"

既存のルール セットを変更するには、次の手順を実行します。

  1. *Cluster > Settings*を選択します。

  2. *セキュリティ*セクションの*複数管理者承認*の横にあるアクションアイコンを選択します。

  3. アイコンを追加を選択して、少なくとも 1 つのルールを追加します。既存のルールを変更または削除することもできます。

    • Operation – サポートされているコマンドをリストから選択します。

    • Query – 必要なコマンド オプションと値を入力します。

    • オプションのパラメータ:グローバル設定を適用する場合は、空白のままにします。グローバル設定を上書きする場合は、特定のルールに対して別の値を割り当てます。

      • Required number of approvers

      • Approval groups

CLIの手順

メモ すべての `security multi-admin-verify rule`コマンドは、 `security multi-admin-verify rule show`を除き、実行前にMAV管理者の承認が必要です。
次の操作を行う場合: 入力するコマンド

ルールを作成します。

security multi-admin-verify rule create -operation "protected_operation" [-query operation_subset] [parameters]

現在の管理者の認証情報を変更する

security login modify <parameters>

:次のルールでは、ルートボリュームを削除するには承認が必要です。

security multi-admin-verify rule create -operation "volume delete" -query "-vserver vs0"

ルールを変更する

security multi-admin-verify rule modify -operation "protected_operation" [parameters]

ルールを削除します。

security multi-admin-verify rule delete -operation "protected_operation"

ルールを表示

security multi-admin-verify rule show
関連情報