Skip to main content
SnapCenter software
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SnapCenterでのロールベースアクセス制御

共同作成者 netapp-soumikd

SnapCenter のロールベース アクセス制御 (RBAC) とONTAP権限により、 SnapCenter管理者はユーザーまたはグループにリソース アクセスを割り当てることができます。この集中管理されたアクセスにより、アプリケーション管理者は指定された環境内で安全に作業できるようになります。

ロールを作成または変更し、ユーザーにリソース アクセスを追加する必要があります。 SnapCenter を初めてセットアップするときは、Active Directory ユーザーまたはグループをロールに追加し、それらのユーザーまたはグループにリソースを割り当てます。

メモ SnapCenter はユーザー アカウントまたはグループ アカウントを作成しません。オペレーティング システムまたはデータベースの Active Directory にユーザー アカウントまたはグループ アカウントを作成します。

SnapCenterのRBACの種類

SnapCenter は、次のタイプのロールベースのアクセス制御をサポートしています。

  • SnapCenter RBAC

  • アプリケーションレベルのRBAC

  • VMware vSphere RBAC用SnapCenterプラグイン

  • ONTAPケンケン

SnapCenter RBAC

SnapCenter には事前定義されたロールがあり、これらのロールにユーザーまたはグループを割り当てることができます。

  • SnapCenter 管理者ロール

  • App Backup and Clone Adminロール

  • Backup and Clone Viewerロール

  • Infrastructure Adminロール

ユーザーにロールを割り当てると、そのユーザーが SnapCenterAdmin ロールを持っていない限り、 SnapCenterそのユーザーに関連するジョブが [ジョブ] ページに表示されます。

また、新しいロールを作成して権限とユーザを管理することもできます。ユーザまたはグループに権限を割り当てて、ホスト、ストレージ接続、リソースグループなどのSnapCenterオブジェクトにアクセスすることができます。

RBACの権限は、同じフォレスト内のユーザとグループ、および異なるフォレストに属するユーザに割り当てることができます。フォレスト間でネストされたグループに属するユーザにRBAC権限を割り当てることはできません。

メモ カスタム ロールを作成するときは、SnapCenterAdmin ロールのすべての権限が含まれていることを確認してください。一部の権限のみをコピーすると、 SnapCenterによってすべての操作の実行が阻止されます。

ユーザーは、ユーザー インターフェイスまたは PowerShell コマンドレットを使用してログインするときに認証する必要があります。ユーザーが複数のロールを持っている場合は、ログイン後にロールを選択します。API を実行するには認証も必要です。

アプリケーションレベルのRBAC

SnapCenterは、クレデンシャルを使用して、許可されたSnapCenterユーザがアプリケーションレベルの権限も持っていることを確認します。

たとえば、SQL Server 環境でデータ保護操作を実行するには、適切な Windows または SQL 資格情報を設定します。 ONTAPストレージ上の Windows ファイル システム環境でデータ保護操作を実行する場合、 SnapCenter管理者ロールには Windows ホストに対する管理者権限が必要です。

同様に、Oracle データベースでデータ保護操作を実行する場合、データベース ホストでオペレーティング システム (OS) 認証が無効になっている場合は、Oracle データベースまたは Oracle ASM 資格情報を使用して資格情報を設定する必要があります。SnapCenter Serverは、処理に応じて、いずれかの方法で設定されたクレデンシャルを認証します。

SnapCenter Plug-in for VMware vSphere の RBAC をサポートしています

VMと整合性のあるデータ保護にSnapCenter VMwareプラグインを使用している場合は、vCenter ServerでRBACをさらに強化できます。SnapCenter VMwareプラグインは、vCenter Server RBACとONTAP RBACの両方をサポートしています。 "詳細"

注: NetApp、SnapCenter Plug-in for VMware vSphere操作用に 1 つのONTAPロールを作成し、必要なすべての権限を割り当てることをお勧めします。

ONTAPケンケン

ストレージ システムにアクセスするために必要な権限を持つ vsadmin アカウントを作成する必要があります。"詳細"

事前定義されたSnapCenterロールに割り当てられた権限

ユーザーをロールに追加するときは、StorageConnection 権限を割り当ててストレージ仮想マシン (SVM) 通信を有効にするか、ユーザーに SVM を割り当てて SVM を使用する権限を付与します。ストレージ接続権限により、ユーザーは SVM 接続を作成できます。

たとえば、 SnapCenter管理者は SVM 接続を作成し、それを App Backup および Clone 管理者ユーザーに割り当てることができますが、App Backup および Clone 管理者ユーザーは SVM 接続を作成または編集できません。 SVM 接続がないと、ユーザーはバックアップ、クローン作成、または復元操作を実行できません。

SnapCenter 管理者ロール

SnapCenter Admin ロールでは、すべての権限が有効になっています。このロールの権限は変更できません。ロールにユーザやグループを追加したり、削除したりできます。

App Backup and Clone Adminロール

App Backup and Clone Adminロールには、アプリケーションのバックアップとクローン関連のタスクに対して管理操作を実行するために必要な権限があります。このロールには、ホスト管理、プロビジョニング、ストレージ接続管理、またはリモートインストールに関する権限はありません。

権限 有効 作成 読み取り 更新 削除

リソースグループ

該当なし

はい

はい

はい

はい

ポリシー

該当なし

はい

はい

はい

はい

バックアップ

該当なし

はい

はい

はい

はい

ホスト

該当なし

はい

はい

はい

はい

ストレージ接続

該当なし

いいえ

はい

いいえ

いいえ

クローン

該当なし

はい

はい

はい

はい

プロビジョニング

該当なし

いいえ

はい

いいえ

いいえ

ダッシュボード

はい

該当なし

該当なし

該当なし

該当なし

レポート

はい

該当なし

該当なし

該当なし

該当なし

リストア

はい

該当なし

該当なし

該当なし

該当なし

リソース

はい

はい

はい

はい

はい

プラグインのインストール/アンインストール

いいえ

該当なし

該当なし

該当なし

移行

いいえ

該当なし

該当なし

該当なし

該当なし

マウントする

はい

はい

該当なし

該当なし

該当なし

アンマウント

はい

はい

該当なし

該当なし

該当なし

フルボリュームリストア

いいえ

いいえ

該当なし

該当なし

該当なし

セカンダリ保護

いいえ

いいえ

該当なし

該当なし

該当なし

ジョブモニタ

はい

該当なし

該当なし

該当なし

該当なし

Backup and Clone Viewerロール

バックアップおよびクローン ビューアー ロールには、すべての権限の読み取り専用ビューが付与されます。また、検出、レポート、およびダッシュボードへのアクセスに必要な権限も有効になっています。

権限 有効 作成 読み取り 更新 削除

リソースグループ

該当なし

いいえ

はい

いいえ

いいえ

ポリシー

該当なし

いいえ

はい

いいえ

いいえ

バックアップ

該当なし

いいえ

はい

いいえ

いいえ

ホスト

該当なし

いいえ

はい

いいえ

いいえ

ストレージ接続

該当なし

いいえ

はい

いいえ

いいえ

クローン

該当なし

いいえ

はい

いいえ

いいえ

プロビジョニング

該当なし

いいえ

はい

いいえ

いいえ

ダッシュボード

はい

該当なし

該当なし

該当なし

該当なし

レポート

はい

該当なし

該当なし

該当なし

該当なし

リストア

いいえ

いいえ

該当なし

該当なし

該当なし

リソース

いいえ

いいえ

はい

はい

いいえ

プラグインのインストール/アンインストール

いいえ

該当なし

該当なし

該当なし

該当なし

移行

いいえ

該当なし

該当なし

該当なし

該当なし

マウントする

はい

該当なし

該当なし

該当なし

該当なし

アンマウント

はい

該当なし

該当なし

該当なし

該当なし

フルボリュームリストア

いいえ

該当なし

該当なし

該当なし

該当なし

セカンダリ保護

いいえ

該当なし

該当なし

該当なし

該当なし

ジョブモニタ

はい

該当なし

該当なし

該当なし

該当なし

Infrastructure Adminロール

Infrastructure Adminロールでは、ホスト管理、ストレージ管理、プロビジョニング、リソースグループ、リモートインストールレポート、 をクリックし、ダッシュボードにアクセスします。

権限 有効 作成 読み取り 更新 削除

リソースグループ

該当なし

はい

はい

はい

はい

ポリシー

該当なし

いいえ

はい

はい

はい

バックアップ

該当なし

はい

はい

はい

はい

ホスト

該当なし

はい

はい

はい

はい

ストレージ接続

該当なし

はい

はい

はい

はい

クローン

該当なし

いいえ

はい

いいえ

いいえ

プロビジョニング

該当なし

はい

はい

はい

はい

ダッシュボード

はい

該当なし

該当なし

該当なし

該当なし

レポート

はい

該当なし

該当なし

該当なし

該当なし

リストア

はい

該当なし

該当なし

該当なし

該当なし

リソース

はい

はい

はい

はい

はい

プラグインのインストール/アンインストール

はい

該当なし

該当なし

該当なし

該当なし

移行

いいえ

該当なし

該当なし

該当なし

該当なし

マウントする

いいえ

該当なし

該当なし

該当なし

該当なし

アンマウント

いいえ

該当なし

該当なし

該当なし

該当なし

フルボリュームリストア

いいえ

いいえ

該当なし

該当なし

該当なし

セカンダリ保護

いいえ

いいえ

該当なし

該当なし

該当なし

ジョブモニタ

はい

該当なし

該当なし

該当なし

該当なし