SnapCenterのロールベースのアクセス制御
SnapCenterのロールベース アクセス制御(RBAC)とONTAPの権限を使用すると、SnapCenter管理者は、SnapCenterリソースの制御を別のユーザまたはユーザ グループに委任できます。この方法でアクセスを一元管理することで、アプリケーション管理者がそれぞれの委譲された環境で安全に作業することができます。
いつでもロールを作成および変更し、ユーザーにリソース アクセスを追加できます。ただし、 SnapCenterを初めてセットアップする場合は、少なくとも Active Directory ユーザーまたはグループをロールに追加し、それらのユーザーまたはグループにリソース アクセスを追加する必要があります。
|
SnapCenterを使用して、ユーザ アカウントやグループ アカウントを作成することはできません。ユーザ アカウントやグループ アカウントは、オペレーティング システムまたはデータベースのActive Directoryに作成する必要があります。 |
SnapCenterのRBACの種類
SnapCenterでは、次の種類のロールベース アクセス制御を使用します。
-
SnapCenter RBAC
-
アプリケーションレベルのRBAC
-
VMware vSphere RBAC 用のSnapCenterプラグイン
-
ONTAP権限
SnapCenter RBAC
SnapCenterには事前定義されたロールがあり、ユーザーまたはユーザー グループをこれらのロールに割り当てることができます。事前定義されたロールは次のとおりです。
-
SnapCenter管理者ロール
-
App Backup and Clone Adminロール
-
Backup and Clone Viewerロール
-
Infrastructure Adminロール
ユーザーにロールを割り当てると、SnapCenterAdmin ロールを割り当てていない限り、そのユーザーに関連するジョブのみが [ジョブ] ページに表示されます。
また、新しいロールを作成して権限とユーザを管理することもできます。ホスト、ストレージ接続、リソース グループなどのSnapCenterオブジェクトにアクセスするための権限をユーザまたはグループに割り当てることができます。
RBACの権限は、同じフォレスト内のユーザとグループ、および別のフォレストに属しているユーザに割り当てることができます。フォレストにまたがってネストされたグループに属するユーザには、RBACの権限を割り当てることはできません。
|
カスタム ロールを作成する場合は、SnapCenterAdmin ロールのすべての権限を含める必要があります。「Host add」や「Host remove」など、一部の権限しかコピーしなかった場合、それらの処理を実行することはできません。 |
ユーザは、グラフィカル ユーザ インターフェイス(GUI)またはPowerShellコマンドレットを使用して、ログインする際に認証情報を指定する必要があります。ユーザが複数のロールに割り当てられている場合は、ログイン クレデンシャルの入力後に、使用するロールを指定するように求められます。また、APIを実行する際にも認証が必要になります。
アプリケーションレベルのRBAC
SnapCenterでは、クレデンシャルを使用して、権限のあるSnapCenterユーザにアプリケーションレベルの権限も付与されていることを検証します。
たとえば、SQL Server 環境でデータ保護操作を実行する場合は、適切な Windows または SQL 資格情報を使用して資格情報を設定する必要があります。SnapCenter Serverは、どちらの方法で設定されたクレデンシャルも認証します。ONTAPストレージ上の Windows ファイル システム環境でデータ保護操作を実行する場合、 SnapCenter管理者ロールには Windows ホストに対する管理者権限が必要です。
同様に、Oracleデータベースに対してデータ保護処理を実行する場合、データベース ホストでオペレーティング システム(OS)認証が無効なときは、クレデンシャルにOracleデータベースまたはOracle ASMのクレデンシャルを設定する必要があります。SnapCenter Serverは、処理に応じて、いずれかの方法で設定されたクレデンシャルを認証します。
SnapCenter Plug-in for VMware vSphereのRBAC
VMと整合性のあるデータ保護にSnapCenter VMwareプラグインを使用する場合は、vCenter ServerでRBACをさらに強化できます。SnapCenter VMware プラグインは、vCenter Server RBAC とONTAP RBAC の両方をサポートします。 "詳細情報"
ベスト プラクティス: NetApp、 SnapCenter Plug-in for VMware vSphere操作用に 1 つのONTAPロールを作成し、必要なすべての権限を割り当てることを推奨しています。 |
ONTAP権限
ストレージ システムにアクセスするために必要な権限を持つ vsadmin アカウントを作成する必要があります。"詳細情報"
定義済みのSnapCenterロールに割り当てられた権限
ロールにユーザを追加するときは、Storage Connection権限を割り当ててStorage Virtual Machine(SVM)の通信を有効にするか、SVMをユーザに割り当ててそのSVMを使用する権限を有効にする必要があります。ストレージ接続権限により、ユーザーは SVM 接続を作成できます。
たとえば、 SnapCenter管理者ロールを持つユーザーは SVM 接続を作成し、それを App Backup and Clone 管理者ロールを持つユーザーに割り当てることができます。このロールを持つユーザーには、デフォルトでは SVM 接続を作成または編集する権限がありません。 SVM 接続がないと、ユーザーはバックアップ、クローン、または復元操作を完了できません。
SnapCenter管理者ロール
SnapCenter管理者ロールにはすべての権限が有効になっています。このロールの権限を変更することはできません。ロールに対しては、ユーザやグループを追加または削除できます。
App Backup and Clone Adminロール
App Backup and Clone Adminロールには、アプリケーション バックアップとクローン関連のタスクに対して管理操作を実行するために必要な権限が付与されています。ホスト管理、プロビジョニング、ストレージ接続管理、リモート インストールに必要な権限は含まれていません。
権限 | 有効 | 作成 | 読み取り | 更新 | 削除 |
---|---|---|---|---|---|
Resource Group |
該当なし |
はい |
はい |
はい |
はい |
ポリシー |
該当なし |
はい |
はい |
はい |
はい |
バックアップ |
該当なし |
はい |
はい |
はい |
はい |
ホスト |
該当なし |
はい |
はい |
はい |
はい |
ストレージ接続 |
該当なし |
いいえ |
はい |
いいえ |
いいえ |
クローン |
該当なし |
はい |
はい |
はい |
はい |
Provision |
該当なし |
いいえ |
はい |
いいえ |
いいえ |
ダッシュボード |
はい |
該当なし |
該当なし |
該当なし |
該当なし |
レポート |
はい |
該当なし |
該当なし |
該当なし |
該当なし |
リストア |
はい |
該当なし |
該当なし |
該当なし |
該当なし |
リソース |
はい |
はい |
はい |
はい |
はい |
プラグインのインストール/アンインストール |
いいえ |
該当なし |
該当なし |
該当なし |
|
移住 |
いいえ |
該当なし |
該当なし |
該当なし |
該当なし |
マウント |
はい |
はい |
該当なし |
該当なし |
該当なし |
アンマウント |
はい |
はい |
該当なし |
該当なし |
該当なし |
Full Volume Restore |
いいえ |
いいえ |
該当なし |
該当なし |
該当なし |
二次保護 |
いいえ |
いいえ |
該当なし |
該当なし |
該当なし |
ジョブモニター |
はい |
該当なし |
該当なし |
該当なし |
該当なし |
Backup and Clone Viewerロール
Backup and Clone Viewerロールには、すべての権限の読み取り専用権限が付与されています。また、検出、レポート、およびダッシュボードへのアクセスに必要な権限も有効になっています。
権限 | 有効 | 作成 | 読み取り | 更新 | 削除 |
---|---|---|---|---|---|
Resource Group |
該当なし |
いいえ |
はい |
いいえ |
いいえ |
ポリシー |
該当なし |
いいえ |
はい |
いいえ |
いいえ |
バックアップ |
該当なし |
いいえ |
はい |
いいえ |
いいえ |
ホスト |
該当なし |
いいえ |
はい |
いいえ |
いいえ |
ストレージ接続 |
該当なし |
いいえ |
はい |
いいえ |
いいえ |
クローン |
該当なし |
いいえ |
はい |
いいえ |
いいえ |
Provision |
該当なし |
いいえ |
はい |
いいえ |
いいえ |
ダッシュボード |
はい |
該当なし |
該当なし |
該当なし |
該当なし |
レポート |
はい |
該当なし |
該当なし |
該当なし |
該当なし |
リストア |
いいえ |
いいえ |
該当なし |
該当なし |
該当なし |
リソース |
いいえ |
いいえ |
はい |
はい |
いいえ |
プラグインのインストール/アンインストール |
いいえ |
該当なし |
該当なし |
該当なし |
該当なし |
移住 |
いいえ |
該当なし |
該当なし |
該当なし |
該当なし |
マウント |
はい |
該当なし |
該当なし |
該当なし |
該当なし |
アンマウント |
はい |
該当なし |
該当なし |
該当なし |
該当なし |
Full Volume Restore |
いいえ |
該当なし |
該当なし |
該当なし |
該当なし |
二次保護 |
いいえ |
該当なし |
該当なし |
該当なし |
該当なし |
ジョブモニター |
はい |
該当なし |
該当なし |
該当なし |
該当なし |
Infrastructure Adminロール
Infrastructure Adminロールでは、ホストの管理、ストレージの管理、プロビジョニング、リソース グループ、リモート インストールのレポート、およびダッシュボードへのアクセスに必要な権限が有効になっています。
権限 | 有効 | 作成 | 読み取り | 更新 | 削除 |
---|---|---|---|---|---|
Resource Group |
該当なし |
はい |
はい |
はい |
はい |
ポリシー |
該当なし |
いいえ |
はい |
はい |
はい |
バックアップ |
該当なし |
はい |
はい |
はい |
はい |
ホスト |
該当なし |
はい |
はい |
はい |
はい |
ストレージ接続 |
該当なし |
はい |
はい |
はい |
はい |
クローン |
該当なし |
いいえ |
はい |
いいえ |
いいえ |
Provision |
該当なし |
はい |
はい |
はい |
はい |
ダッシュボード |
はい |
該当なし |
該当なし |
該当なし |
該当なし |
レポート |
はい |
該当なし |
該当なし |
該当なし |
該当なし |
リストア |
はい |
該当なし |
該当なし |
該当なし |
該当なし |
リソース |
はい |
はい |
はい |
はい |
はい |
プラグインのインストール/アンインストール |
はい |
該当なし |
該当なし |
該当なし |
該当なし |
移住 |
いいえ |
該当なし |
該当なし |
該当なし |
該当なし |
マウント |
いいえ |
該当なし |
該当なし |
該当なし |
該当なし |
アンマウント |
いいえ |
該当なし |
該当なし |
該当なし |
該当なし |
Full Volume Restore |
いいえ |
いいえ |
該当なし |
該当なし |
該当なし |
二次保護 |
いいえ |
いいえ |
該当なし |
該当なし |
該当なし |
ジョブモニター |
はい |
該当なし |
該当なし |
該当なし |
該当なし |