Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

保護されたオペレーションルールの管理

共同作成者
PDF

マルチ管理者認証(MAV)ルールを作成して、承認が必要な操作を指定します。操作が開始されるたびに、保護された操作が傍受され、承認要求が生成されます。

適切なRBAC機能を持つ管理者は、MAVを有効にする前にルールを作成できますが、MAVを有効にすると、ルールセットを変更するにはMAVの承認が必要になります。

1回の操作で作成できるMAVルールは1つだけです。たとえば、複数のルールを作成することはできません volume-snapshot-delete。必要なルール制約は1つのルール内に含める必要があります。

保護するルールを作成できます"これらのコマンド"。各コマンドは、コマンドの保護機能が最初に使用可能になったONTAPバージョン以降で保護できます。

MAV system-defaultコマンドのルールは security multi-admin-verify "コマンド"変更できません。

システム定義の操作に加えて、次のコマンドは、マルチ管理者検証が有効になっている場合にデフォルトで保護されますが、これらのコマンドの保護を解除するルールを変更することができます。

  • security login password

  • security login unlock

  • set

ルール制約

ルールを作成するときに、オプションを指定して要求をコマンド機能のサブセットに制限することもできます -query。 `-query`オプションを使用すると、SVM、ボリューム、Snapshot名などの構成要素を制限することもできます。

たとえば、 volume snapshot delete`コマンドでを `-query`に設定すると `-snapshot !hourly*,!daily*,!weekly*、hourly、daily、weeklyのいずれかの属性がプレフィックスされたボリュームSnapshotがMAV保護の対象から除外されます。

smci-vsim20::> security multi-admin-verify rule show
                                               Required  Approval
Vserver Operation                              Approvers Groups
------- -------------------------------------- --------- -------------
vs01    volume snapshot delete                 -         -
          Query: -snapshot !hourly*,!daily*,!weekly*
メモ 除外された構成要素はMAVによって保護されず、管理者はそれらを削除または名前変更できます。

デフォルトでは、ルールは、保護された操作が入力されたときに対応するコマンドが自動的に生成されるように指定します security multi-admin-verify request create “protected_operation”。このデフォルトを変更して、コマンドを個別に入力するように指定でき `request create`ます。

デフォルトでは、ルールには次のグローバルMAV設定が継承されますが、ルール固有の例外を指定することもできます。

  • 必要な承認者数

  • 承認グループ

  • 承認の有効期限

  • 実行有効期間

System Managerの手順

保護された処理ルールを初めて追加する場合は、System Managerの手順を参照してください。"マルチ管理者検証を有効にします。"

既存のルールセットを変更するには:

  1. [* Cluster]>[Settings](設定)*を選択します。

  2. セクションの[マルチ管理者の承認]*の横にあるを選択します アクションアイコン

  3. 少なくとも1つのルールを追加する場合に選択し 追加アイコン ます。既存のルールを変更または削除することもできます。

    • 操作–リストからサポートされているコマンドを選択します。

    • クエリ–必要なコマンドオプションと値を入力します。

    • オプションのパラメータ–グローバル設定を適用する場合は空白のままにし、特定のルールに別の値を割り当ててグローバル設定を上書きします。

      • 必要な承認者数

      • 承認グループ

CLIの手順

メモ を除き、すべての security multi-admin-verify rule`コマンドを実行する前にMAV管理者の承認が必要です。 `security multi-admin-verify rule show
実行する操作 入力するコマンド

ルールの作成

security multi-admin-verify rule create -operation “protected_operation” [-query operation_subset] [parameters]

現在の管理者のクレデンシャルの変更

security login modify <parameters>

:次のルールでは、ルートボリュームの削除が承認されている必要があります。

security multi-admin-verify rule create -operation "volume delete" -query "-vserver vs0"

ルールを変更します

security multi-admin-verify rule modify -operation “protected_operation” [parameters]

ルールを削除します。

security multi-admin-verify rule delete -operation “protected_operation”

ルールを表示します

security multi-admin-verify rule show

コマンド構文の詳細については、マニュアルページを参照して `security multi-admin-verify rule`ください。