Skip to main content
SnapCenter software
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SnapCenterのロールベースのアクセス制御

SnapCenterのロールベース アクセス制御(RBAC)とONTAPの権限を使用すると、SnapCenter管理者は、SnapCenterリソースの制御を別のユーザまたはユーザ グループに委任できます。この方法でアクセスを一元管理することで、アプリケーション管理者がそれぞれの委譲された環境で安全に作業することができます。

いつでもロールを作成および変更し、ユーザーにリソース アクセスを追加できます。ただし、 SnapCenterを初めてセットアップする場合は、少なくとも Active Directory ユーザーまたはグループをロールに追加し、それらのユーザーまたはグループにリソース アクセスを追加する必要があります。

メモ SnapCenterを使用して、ユーザ アカウントやグループ アカウントを作成することはできません。ユーザ アカウントやグループ アカウントは、オペレーティング システムまたはデータベースのActive Directoryに作成する必要があります。

SnapCenterのRBACの種類

SnapCenterでは、次の種類のロールベース アクセス制御を使用します。

  • SnapCenter RBAC

  • アプリケーションレベルのRBAC

  • VMware vSphere RBAC 用のSnapCenterプラグイン

  • ONTAP権限

SnapCenter RBAC

SnapCenterには事前定義されたロールがあり、ユーザーまたはユーザー グループをこれらのロールに割り当てることができます。事前定義されたロールは次のとおりです。

  • SnapCenter管理者ロール

  • App Backup and Clone Adminロール

  • Backup and Clone Viewerロール

  • Infrastructure Adminロール

ユーザーにロールを割り当てると、SnapCenterAdmin ロールを割り当てていない限り、そのユーザーに関連するジョブのみが [ジョブ] ページに表示されます。

また、新しいロールを作成して権限とユーザを管理することもできます。ホスト、ストレージ接続、リソース グループなどのSnapCenterオブジェクトにアクセスするための権限をユーザまたはグループに割り当てることができます。

RBACの権限は、同じフォレスト内のユーザとグループ、および別のフォレストに属しているユーザに割り当てることができます。フォレストにまたがってネストされたグループに属するユーザには、RBACの権限を割り当てることはできません。

メモ カスタム ロールを作成する場合は、SnapCenterAdmin ロールのすべての権限を含める必要があります。「Host add」や「Host remove」など、一部の権限しかコピーしなかった場合、それらの処理を実行することはできません。

ユーザは、グラフィカル ユーザ インターフェイス(GUI)またはPowerShellコマンドレットを使用して、ログインする際に認証情報を指定する必要があります。ユーザが複数のロールに割り当てられている場合は、ログイン クレデンシャルの入力後に、使用するロールを指定するように求められます。また、APIを実行する際にも認証が必要になります。

アプリケーションレベルのRBAC

SnapCenterでは、クレデンシャルを使用して、権限のあるSnapCenterユーザにアプリケーションレベルの権限も付与されていることを検証します。

たとえば、SQL Server 環境でデータ保護操作を実行する場合は、適切な Windows または SQL 資格情報を使用して資格情報を設定する必要があります。SnapCenter Serverは、どちらの方法で設定されたクレデンシャルも認証します。ONTAPストレージ上の Windows ファイル システム環境でデータ保護操作を実行する場合、 SnapCenter管理者ロールには Windows ホストに対する管理者権限が必要です。

同様に、Oracleデータベースに対してデータ保護処理を実行する場合、データベース ホストでオペレーティング システム(OS)認証が無効なときは、クレデンシャルにOracleデータベースまたはOracle ASMのクレデンシャルを設定する必要があります。SnapCenter Serverは、処理に応じて、いずれかの方法で設定されたクレデンシャルを認証します。

SnapCenter Plug-in for VMware vSphereのRBAC

VMと整合性のあるデータ保護にSnapCenter VMwareプラグインを使用する場合は、vCenter ServerでRBACをさらに強化できます。SnapCenter VMware プラグインは、vCenter Server RBAC とONTAP RBAC の両方をサポートします。 "詳細情報"

ベスト プラクティス: NetApp、 SnapCenter Plug-in for VMware vSphere操作用に 1 つのONTAPロールを作成し、必要なすべての権限を割り当てることを推奨しています。

ONTAP権限

ストレージ システムにアクセスするために必要な権限を持つ vsadmin アカウントを作成する必要があります。"詳細情報"

定義済みのSnapCenterロールに割り当てられた権限

ロールにユーザを追加するときは、Storage Connection権限を割り当ててStorage Virtual Machine(SVM)の通信を有効にするか、SVMをユーザに割り当ててそのSVMを使用する権限を有効にする必要があります。ストレージ接続権限により、ユーザーは SVM 接続を作成できます。

たとえば、 SnapCenter管理者ロールを持つユーザーは SVM 接続を作成し、それを App Backup and Clone 管理者ロールを持つユーザーに割り当てることができます。このロールを持つユーザーには、デフォルトでは SVM 接続を作成または編集する権限がありません。 SVM 接続がないと、ユーザーはバックアップ、クローン、または復元操作を完了できません。

SnapCenter管理者ロール

SnapCenter管理者ロールにはすべての権限が有効になっています。このロールの権限を変更することはできません。ロールに対しては、ユーザやグループを追加または削除できます。

App Backup and Clone Adminロール

App Backup and Clone Adminロールには、アプリケーション バックアップとクローン関連のタスクに対して管理操作を実行するために必要な権限が付与されています。ホスト管理、プロビジョニング、ストレージ接続管理、リモート インストールに必要な権限は含まれていません。

権限 有効 作成 読み取り 更新 削除

Resource Group

該当なし

はい

はい

はい

はい

ポリシー

該当なし

はい

はい

はい

はい

バックアップ

該当なし

はい

はい

はい

はい

ホスト

該当なし

はい

はい

はい

はい

ストレージ接続

該当なし

いいえ

はい

いいえ

いいえ

クローン

該当なし

はい

はい

はい

はい

Provision

該当なし

いいえ

はい

いいえ

いいえ

ダッシュボード

はい

該当なし

該当なし

該当なし

該当なし

レポート

はい

該当なし

該当なし

該当なし

該当なし

リストア

はい

該当なし

該当なし

該当なし

該当なし

リソース

はい

はい

はい

はい

はい

プラグインのインストール/アンインストール

いいえ

該当なし

該当なし

該当なし

移住

いいえ

該当なし

該当なし

該当なし

該当なし

マウント

はい

はい

該当なし

該当なし

該当なし

アンマウント

はい

はい

該当なし

該当なし

該当なし

Full Volume Restore

いいえ

いいえ

該当なし

該当なし

該当なし

二次保護

いいえ

いいえ

該当なし

該当なし

該当なし

ジョブモニター

はい

該当なし

該当なし

該当なし

該当なし

Backup and Clone Viewerロール

Backup and Clone Viewerロールには、すべての権限の読み取り専用権限が付与されています。また、検出、レポート、およびダッシュボードへのアクセスに必要な権限も有効になっています。

権限 有効 作成 読み取り 更新 削除

Resource Group

該当なし

いいえ

はい

いいえ

いいえ

ポリシー

該当なし

いいえ

はい

いいえ

いいえ

バックアップ

該当なし

いいえ

はい

いいえ

いいえ

ホスト

該当なし

いいえ

はい

いいえ

いいえ

ストレージ接続

該当なし

いいえ

はい

いいえ

いいえ

クローン

該当なし

いいえ

はい

いいえ

いいえ

Provision

該当なし

いいえ

はい

いいえ

いいえ

ダッシュボード

はい

該当なし

該当なし

該当なし

該当なし

レポート

はい

該当なし

該当なし

該当なし

該当なし

リストア

いいえ

いいえ

該当なし

該当なし

該当なし

リソース

いいえ

いいえ

はい

はい

いいえ

プラグインのインストール/アンインストール

いいえ

該当なし

該当なし

該当なし

該当なし

移住

いいえ

該当なし

該当なし

該当なし

該当なし

マウント

はい

該当なし

該当なし

該当なし

該当なし

アンマウント

はい

該当なし

該当なし

該当なし

該当なし

Full Volume Restore

いいえ

該当なし

該当なし

該当なし

該当なし

二次保護

いいえ

該当なし

該当なし

該当なし

該当なし

ジョブモニター

はい

該当なし

該当なし

該当なし

該当なし

Infrastructure Adminロール

Infrastructure Adminロールでは、ホストの管理、ストレージの管理、プロビジョニング、リソース グループ、リモート インストールのレポート、およびダッシュボードへのアクセスに必要な権限が有効になっています。

権限 有効 作成 読み取り 更新 削除

Resource Group

該当なし

はい

はい

はい

はい

ポリシー

該当なし

いいえ

はい

はい

はい

バックアップ

該当なし

はい

はい

はい

はい

ホスト

該当なし

はい

はい

はい

はい

ストレージ接続

該当なし

はい

はい

はい

はい

クローン

該当なし

いいえ

はい

いいえ

いいえ

Provision

該当なし

はい

はい

はい

はい

ダッシュボード

はい

該当なし

該当なし

該当なし

該当なし

レポート

はい

該当なし

該当なし

該当なし

該当なし

リストア

はい

該当なし

該当なし

該当なし

該当なし

リソース

はい

はい

はい

はい

はい

プラグインのインストール/アンインストール

はい

該当なし

該当なし

該当なし

該当なし

移住

いいえ

該当なし

該当なし

該当なし

該当なし

マウント

いいえ

該当なし

該当なし

該当なし

該当なし

アンマウント

いいえ

該当なし

該当なし

該当なし

該当なし

Full Volume Restore

いいえ

いいえ

該当なし

該当なし

該当なし

二次保護

いいえ

いいえ

該当なし

該当なし

該当なし

ジョブモニター

はい

該当なし

該当なし

該当なし

該当なし