SnapCenter Plug-in for VMware vSphere ユーザ用の RBAC のタイプ
SnapCenter Plug-in for VMware vSphere を使用している場合、 vCenter Server によってさらに細かく RBAC を実装できます。このプラグインは、 vCenter Server RBAC と ONTAP RBAC の両方をサポートしています。
vCenter Server RBAC
このセキュリティメカニズムは、SnapCenter Plug-in for VMware vSphereで実行されるすべてのジョブに適用されます。ジョブには、VM-consistent、VM crash-consistent、SnapCenter Server application-consistent(VMDK経由のアプリケーション)が含まれます。このレベルのRBACは、仮想マシン(VM)やデータストアなどのvSphereオブジェクトに対してSnapCenter Plug-in for VMware vSphereタスクを実行するvSphereユーザの権限を制限します。
SnapCenter Plug-in for VMware vSphereを導入すると、vCenterでのSnapCenter処理用に次のロールが作成されます。
「 CV 管理者」「 CV ゲストファイルの復元」「 CV の復元」「 S CV ビュー」
vSphere 管理者は、次の手順で vCenter Server RBAC を設定します。
-
vCenter Server アクセス許可をルートオブジェクト(ルートフォルダ)に対して設定します。その後、アクセス許可が不要な子エンティティのアクセスを禁止することでセキュリティを強化できます。
-
Active Directory ユーザに SCV ロールを割り当てます。
最低限、すべてのユーザが vCenter オブジェクトを表示できる必要があります。この権限がないユーザはVMware vSphere Client GUIにアクセスできません。
ONTAP RBAC
このセキュリティメカニズムは、 SnapCenter サーバのアプリケーションと整合性のある( VMDK 経由のアプリケーション)ジョブにのみ適用されます。特定のストレージシステムに対して、 SnapCenter から、データストアのストレージをバックアップするなどの特定のストレージ処理を実行する権限を制限します。
ONTAP と SnapCenter RBAC を設定するには、次のワークフローを使用します。
-
ストレージ管理者が、必要な権限を持つロールを Storage VM 上に作成します。
-
次に、ストレージ管理者がそのロールをストレージユーザに割り当てます。
-
SnapCenter 管理者が、ストレージユーザ名を使用して、 Storage VM を SnapCenter サーバに追加します。
-
次に、 SnapCenter 管理者が SnapCenter ユーザにロールを割り当てます。
RBAC 権限の検証ワークフロー
次の図は、 RBAC 権限( vCenter と ONTAP の両方)の検証ワークフローの概要を示しています。