ONTAPでMAV保護された操作の実行をリクエストする
変更を提案
PDF
マルチ管理者認証(MAV)が有効になっているクラスタで保護対象処理またはコマンドを開始すると、ONTAPは自動的に処理を傍受して、要求を生成するよう求めます。生成した要求は、MAV承認グループ内の1人以上の管理者(MAV管理者)によって承認される必要があります。また、ダイアログなしでMAV要求を作成することもできます。
承認された場合は、クエリに応答して、要求の有効期限内に処理を完了する必要があります。拒否された場合、要求数の上限を超えた場合、または有効期限を過ぎた場合は、要求を削除して再送信する必要があります。
MAV機能は、既存のRBAC設定を遵守します。つまり、MAVの設定に関係なく、管理者ロールには、保護対象処理を実行するための十分な権限が必要です。"RBAC の詳細"。
MAV管理者が保護対象処理を実行する要求を生成した場合も、その要求は他のMAV管理者によって承認される必要があります。
System Managerの手順
ユーザがメニュー オプションをクリックしてある処理を開始し、その処理が保護されている場合、承認要求が生成され、次のような通知がユーザに送信されます。
Approval request to delete the volume was sent. Track the request ID 356 from Events & Jobs > Multi-Admin Requests.
MAVが有効な場合、*マルチ管理者リクエスト*ウィンドウが利用可能になり、ユーザーのログインIDとMAVロール(承認者かどうか)に基づいて保留中のリクエストが表示されます。保留中のリクエストごとに、以下のフィールドが表示されます:
-
処理
-
Index(番号)
-
Status(Pending、Approved、Rejected、Executed、Expired)
承認者が1人でも要求を却下した場合、それ以上の操作を行うことはできません。
-
Query(要求された処理のパラメータまたは値)
-
Requesting User
-
Request Expires On
-
Pending Approvers(人数)
-
Potential Approvers(人数)
要求が承認された場合、要求元ユーザは有効期限内に処理を再試行できます。
ユーザが承認なしで処理を再試行すると、次のような通知が表示されます。
Request to perform delete operation is pending approval. Retry the operation after request is approved.
CLIの手順
-
保護対象処理を直接、またはMAV要求コマンドを使用して入力します。
例 – ボリュームを削除するには、次のコマンドのいずれかを入力します:
-
volume deletecluster-1::*> volume delete -volume vol1 -vserver vs0 Warning: This operation requires multi-admin verification. To create a verification request use "security multi-admin-verify request create". Would you like to create a request for this operation? {y|n}: y Error: command failed: The security multi-admin-verify request (index 3) is auto-generated and requires approval. -
security multi-admin-verify request create "volume delete"Error: command failed: The security multi-admin-verify request (index 3) requires approval.
-
-
要求のステータスを確認して、MAV通知に応答します。
-
要求が承認された場合は、CLIメッセージに応答して処理を完了します。
例:
cluster-1::> security multi-admin-verify request show 3 Request Index: 3 Operation: volume delete Query: -vserver vs0 -volume vol1 State: approved Required Approvers: 1 Pending Approvers: 0 Approval Expiry: 2/25/2022 14:32:03 Execution Expiry: 2/25/2022 14:35:36 Approvals: admin2 User Vetoed: - Vserver: cluster-1 User Requested: admin Time Created: 2/25/2022 13:32:03 Time Approved: 2/25/2022 13:35:36 Comment: - Users Permitted: - cluster-1::*> volume delete -volume vol1 -vserver vs0 Info: Volume "vol1" in Vserver "vs0" will be marked as deleted and placed in the volume recovery queue. The space used by the volume will be recovered only after the retention period of 12 hours has completed. To recover the space immediately, get the volume name using (privilege:advanced) "volume recovery-queue show vol1_*" and then "volume recovery-queue purge -vserver vs0 -volume <volume_name>" command. To recover the volume use the (privilege:advanced) "volume recovery-queue recover -vserver vs0 -volume <volume_name>" command. Warning: Are you sure you want to delete volume "vol1" in Vserver "vs0" ? {y|n}: y -
要求が拒否された場合、または有効期限を過ぎた場合は、要求を削除して、再送信するかMAV管理者に問い合わせます。
例:
cluster-1::> security multi-admin-verify request show 3 Request Index: 3 Operation: volume delete Query: -vserver vs0 -volume vol1 State: vetoed Required Approvers: 1 Pending Approvers: 1 Approval Expiry: 2/25/2022 14:38:47 Execution Expiry: - Approvals: - User Vetoed: admin2 Vserver: cluster-1 User Requested: admin Time Created: 2/25/2022 13:38:47 Time Approved: - Comment: - Users Permitted: - cluster-1::*> volume delete -volume vol1 -vserver vs0 Error: command failed: The security multi-admin-verify request (index 3) hasbeen vetoed. You must delete it and create a new verification request. To delete, run "security multi-admin-verify request delete 3". -