Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

保護された操作ルールを管理します

共同作成者
PDF

MAV(Multi-admin Verification)ルールを作成して、承認が必要な操作を指定します。操作が開始されるたびに、保護された操作が妨害され、承認の要求が生成されます。

ルールは任意の管理者が適切なRBAC機能を使用してMAVを有効にする前に作成できますが、MAVを有効にすると、ルールセットを変更するにはMAV承認が必要になります。

1回の操作で作成できるMAVルールは1つだけです。たとえば、複数のMAVルールを作成することはできません。 volume-snapshot-delete ルール。必要なルール制約は1つのルール内に含める必要があります。

ルールで保護されたコマンド

ONTAP 9.11.1以降では、次のコマンドを保護するルールを作成できます。

cluster peer delete

event config modify

security login create

security login delete

security login modify

system node run

system node systemshell

volume delete

volume flexcache delete

volume snapshot autodelete modify

volume snapshot delete

volume snapshot policy add-schedule

volume snapshot policy create

volume snapshot policy delete

volume snapshot policy modify

volume snapshot policy modify-schedule

volume snapshot policy remove-schedule

volume snapshot restore

vserver peer delete

ONTAP 9.13.1以降では、次のコマンドを保護するルールを作成できます。

  • volume snaplock modify

  • security anti-ransomware volume attack clear-suspect

  • security anti-ransomware volume disable

  • security anti-ransomware volume pause

ONTAP 9.14.1以降では、次のコマンドを保護するルールを作成できます。

  • volume recovery-queue modify

  • volume recovery-queue purge

  • volume recovery-queue purge-all

  • vserver modify

MAV system-defaultコマンドのルール security multi-admin-verify "コマンド"を変更することはできません。

マルチ管理者検証を有効にした場合、システム定義のコマンドに加えて次のコマンドもデフォルトで保護されますが、これらのコマンドの保護を解除するようにルールを変更することができます。

  • security login password

  • security login unlock

  • set

ルール制約

ルールを作成するときに、オプションでを指定できます -query 要求をコマンド機能のサブセットに制限するオプション。。 -query オプションを使用すると、SVM、ボリューム、Snapshot名などの構成要素を制限することもできます。

例えば、 volume snapshot delete コマンド、 -query 次のように設定できます。 `-snapshot !hourly*,!daily*,!weekly*`つまり、hourly、daily、またはweekly属性のプレフィックスが付いたボリュームSnapshotは、MAV保護から除外されます。

smci-vsim20::> security multi-admin-verify rule show
                                               Required  Approval
Vserver Operation                              Approvers Groups
------- -------------------------------------- --------- -------------
vs01    volume snapshot delete                 -         -
          Query: -snapshot !hourly*,!daily*,!weekly*
メモ 除外された構成要素はMAVによって保護されず、管理者はそれらを削除または名前変更できます。

デフォルトでは、ルールは対応するを指定します security multi-admin-verify request create “protected_operation” 保護されたオペレーションが入力されると、コマンドが自動的に生成されます。このデフォルトを変更して、が必要になるようにすることができます request create コマンドは別 々 に入力します。

デフォルトでは、ルール固有の例外を指定できますが、ルールは次のグローバルMAV設定を継承します。

  • 承認者の必要数

  • 承認グループ

  • 承認の有効期限

  • 実行の有効期限

System Manager の手順の略

保護された処理ルールを初めて追加する場合は、System Managerの手順 を参照してください "マルチ管理者検証を有効にします。"

既存のルールセットを変更するには:

  1. [* Cluster]>[Settings](設定)*を選択します。

  2. 選択するオプション 歯車アイコン 「セキュリティ」セクションの「*マルチ管理者承認」の横。

  3. 選択するオプション 追加アイコン ルールを追加するには、既存のルールを変更または削除することもできます。

    • operation–サポートされているコマンドをリストから選択します。

    • Query–必要なコマンドオプションと値を入力します。

    • オプションのパラメータ–グローバル設定を適用する場合は空欄のままにします。グローバル設定を上書きする場合は、特定のルールに別の値を割り当てます。

      • 必要な承認者の数

      • 承認グループ

CLI 手順の略

メモ すべて security multi-admin-verify rule コマンドを実行するには、以外のMAV管理者の承認が必要です security multi-admin-verify rule show
実行する処理 入力するコマンド

ルールを作成します

security multi-admin-verify rule create -operation “protected_operation” [-query operation_subset] [parameters]

現在の管理者のクレデンシャルの変更

security login modify <parameters>

:次のルールでは、ルートボリュームの削除が承認されている必要があります。

security multi-admin-verify rule create -operation "volume delete" -query "-vserver vs0"

ルールを変更します

security multi-admin-verify rule modify -operation “protected_operation” [parameters]

ルールを削除します

security multi-admin-verify rule delete -operation “protected_operation”

ルールを表示します

security multi-admin-verify rule show

コマンド構文の詳細については、を参照してください security multi-admin-verify rule マニュアルページ