Skip to main content
本製品の最新リリースがご利用いただけます。
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

RBACノシユルイ

共同作成者
PDF

SnapCenterのロールベースアクセス制御(RBAC)とONTAP権限を使用すると、SnapCenter管理者は、SnapCenterリソースの制御を別のユーザまたはユーザグループに委譲できます。この一元管理されたアクセスにより、アプリケーション管理者は委任された環境で安全に作業を行うことができます。

ロールの作成と変更、ユーザへのリソースアクセスの追加はいつでも実行できますが、 SnapCenter を初めて設定するときは、少なくとも Active Directory ユーザまたはグループをロールに追加してから、そのユーザまたはグループにリソースアクセスを追加する必要があります。

メモ SnapCenterを使用してユーザアカウントまたはグループアカウントを作成することはできません。オペレーティングシステムまたはデータベースのActive Directoryにユーザアカウントまたはグループアカウントを作成する必要があります。

SnapCenter では、次のタイプのロールベースアクセス制御を使用します。

  • SnapCenter RBAC

  • SnapCenter プラグインの RBAC (一部のプラグイン)

  • アプリケーションレベルのRBAC

  • ONTAPケンケン

SnapCenter RBAC

ロールと権限

SnapCenterには、権限が割り当てられた事前定義されたロールが付属していますこれらのロールには、ユーザまたはユーザグループを割り当てることができます。また、新しいロールを作成して権限とユーザを管理することもできます。

  • ユーザーまたはグループへのアクセス権の割り当て *

ユーザまたはグループに権限を割り当てて、ホスト、ストレージ接続、リソースグループなどのSnapCenterオブジェクトにアクセスすることができます。SnapCenterAdminロールの権限を変更することはできません。

RBACの権限は、同じフォレスト内のユーザとグループ、および異なるフォレストに属するユーザに割り当てることができます。フォレスト間でネストされたグループに属するユーザにRBAC権限を割り当てることはできません。

メモ カスタムロールを作成する場合は、SnapCenter Adminロールのすべての権限が含まれている必要があります。Host addやHost removeなど、一部の権限のみをコピーした場合は、それらの処理を実行できません。

認証

ユーザは、グラフィカルユーザインターフェイス(GUI)またはPowerShellコマンドレットを使用して、ログイン時に認証を指定する必要があります。ユーザが複数のロールのメンバーである場合は、ログインクレデンシャルを入力すると、使用するロールを指定するように求められます。また、APIを実行するための認証も必要です。

アプリケーションレベルのRBAC

SnapCenterは、クレデンシャルを使用して、許可されたSnapCenterユーザがアプリケーションレベルの権限も持っていることを確認します。

たとえば、SQL Server環境でSnapshot処理やデータ保護処理を実行する場合は、WindowsまたはSQLの適切なクレデンシャルを使用してクレデンシャルを設定する必要があります。SnapCenter サーバは、どちらの方法で設定されたクレデンシャルも認証します。Windowsファイルシステム環境でONTAPストレージ上でSnapshot処理とデータ保護処理を実行する場合は、SnapCenterのadminロールにWindowsホストに対するadmin権限が必要です。

同様に、Oracleデータベースに対してデータ保護処理を実行する場合に、データベースホストでオペレーティングシステム(OS)認証が無効になっている場合は、OracleデータベースまたはOracle ASMのクレデンシャルを使用してクレデンシャルを設定する必要があります。SnapCenterサーバは、操作に応じて、次のいずれかの方法を使用して設定されたクレデンシャルを認証します。

SnapCenter Plug-in for VMware vSphere の RBAC をサポートしています

VMと整合性のあるデータ保護にSnapCenter VMwareプラグインを使用している場合は、vCenter ServerでRBACをさらに強化できます。SnapCenter VMwareプラグインは、vCenter Server RBACとData ONTAP RBACの両方をサポートしています。

詳しくは、を参照してください。 "SnapCenter Plug-in for VMware vSphere の RBAC をサポートしています"

ONTAPケンケン

ストレージシステムへのアクセスに必要な権限を持つvsadminアカウントを作成する必要があります。

アカウントの作成と権限の割り当てについては、を参照してください。 "最小限の権限で ONTAP クラスタロールを作成します"