본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

RBAC 보안 개요

07/19/2024 기여자

ONTAP에는 강력하고 확장 가능한 RBAC(역할 기반 액세스 제어) 기능이 포함되어 있습니다. REST API 및 CLI를 통해 노출된 리소스에 대한 사용자의 액세스를 제어하는 역할을 각 계정에 다르게 할당할 수 있습니다. 이 역할은 다양한 ONTAP 사용자에 대해 서로 다른 수준의 관리 액세스를 정의합니다.

ONTAP RBAC 기능은 계속 확장되고 ONTAP 9.11.1(및 후속 릴리스)로 크게 향상되었습니다. "RBAC 발전 요약"자세한 내용은 및 "ONTAP REST API의 새로운 기능" 를 참조하십시오.

ONTAP 역할

역할은 사용자가 수행할 수 있는 작업을 집합적으로 정의하는 권한 집합입니다. 각 권한은 특정 액세스 경로 및 관련 액세스 수준을 식별합니다. 역할은 사용자 계정에 할당되며 액세스 제어 결정을 내릴 때 ONTAP에 의해 적용됩니다.

역할 유형

역할에는 두 가지 유형이 있습니다. ONTAP이 발전함에 따라 다양한 환경에 맞게 조정되고 도입되었습니다.

각 유형의 역할을 사용할 때 장단점이 있습니다. 을 참조하십시오 "역할 유형 비교" 를 참조하십시오.

유형	설명
휴식	나머지 역할은 ONTAP 9.6으로 도입되었으며, REST API를 통해 ONTAP에 액세스하는 사용자에게 일반적으로 적용된다. REST 역할을 생성하면 기존의 _mapping_role이 자동으로 생성됩니다.
기존	이는 ONTAP 9.6 이전에 포함된 레거시 역할입니다. ONTAP CLI 환경에 도입되었으며 RBAC 보안의 기본 요소로 계속 사용됩니다.

유형

설명

휴식

나머지 역할은 ONTAP 9.6으로 도입되었으며, REST API를 통해 ONTAP에 액세스하는 사용자에게 일반적으로 적용된다. REST 역할을 생성하면 기존의 _mapping_role이 자동으로 생성됩니다.

기존

이는 ONTAP 9.6 이전에 포함된 레거시 역할입니다. ONTAP CLI 환경에 도입되었으며 RBAC 보안의 기본 요소로 계속 사용됩니다.

범위

모든 역할에는 해당 역할이 정의 및 적용되는 범위 또는 컨텍스트가 있습니다. 범위는 특정 역할이 사용되는 위치와 방법을 결정합니다.

ONTAP 사용자 계정에도 사용자 정의 및 사용 방법을 결정하는 유사한 범위가 있습니다.

범위	설명
클러스터	클러스터 범위가 있는 역할은 ONTAP 클러스터 레벨에 정의되어 있습니다. 클러스터 레벨 사용자 계정과 연결되어 있습니다.
SVM	SVM 범위를 갖는 역할은 특정 데이터 SVM에 대해 정의됩니다. 동일한 SVM의 사용자 계정에 할당됩니다.

범위

설명

클러스터

클러스터 범위가 있는 역할은 ONTAP 클러스터 레벨에 정의되어 있습니다. 클러스터 레벨 사용자 계정과 연결되어 있습니다.

SVM

SVM 범위를 갖는 역할은 특정 데이터 SVM에 대해 정의됩니다. 동일한 SVM의 사용자 계정에 할당됩니다.

역할 정의의 소스

ONTAP 역할은 두 가지 방법으로 정의할 수 있습니다.

역할 소스	설명
맞춤형	ONTAP 관리자는 사용자 지정 역할을 만들 수 있습니다. 이러한 역할은 특정 환경 및 보안 요구 사항에 맞게 조정할 수 있습니다.
내장	맞춤형 역할을 통해 더 많은 유연성을 제공할 뿐만 아니라, 클러스터 및 SVM 레벨에서 모두 사용할 수 있는 기본 제공 역할 세트가 있습니다. 이러한 역할은 미리 정의되어 있으며 일반적인 관리 작업에 사용할 수 있습니다.

역할 소스

설명

맞춤형

ONTAP 관리자는 사용자 지정 역할을 만들 수 있습니다. 이러한 역할은 특정 환경 및 보안 요구 사항에 맞게 조정할 수 있습니다.

내장

맞춤형 역할을 통해 더 많은 유연성을 제공할 뿐만 아니라, 클러스터 및 SVM 레벨에서 모두 사용할 수 있는 기본 제공 역할 세트가 있습니다. 이러한 역할은 미리 정의되어 있으며 일반적인 관리 작업에 사용할 수 있습니다.

역할 매핑 및 ONTAP 처리

사용 중인 ONTAP 릴리즈에 따라 전체 또는 거의 모든 REST API 호출이 하나 이상의 CLI 명령에 매핑됩니다. REST 역할을 만들면 기존 또는 레거시 역할도 만들어집니다. 이 * Mapped * 기존 역할은 해당 CLI 명령을 기반으로 하며 조작하거나 변경할 수 없습니다.

역 역할 매핑은 지원되지 않습니다. 즉, 기존 역할을 생성해도 해당 REST 역할은 발생하지 않습니다.

RBAC 발전 요약

기존 역할은 모든 ONTAP 9 릴리즈에 포함됩니다. 나머지 역할은 나중에 소개되었으며 아래 설명과 같이 발전했습니다.

ONTAP 9.6

REST API는 ONTAP 9.6과 함께 도입되었습니다. 나머지 역할도 이 릴리스에 포함되어 있습니다. 또한 REST 역할을 생성하면 이에 상응하는 기존 역할도 생성됩니다.

ONTAP 9.7 ~ 9.10.1

9.7에서 9.10.1까지의 각 ONTAP 릴리스에는 REST API의 향상된 기능이 포함되어 있습니다. 예를 들어, 각 릴리즈마다 다른 REST 엔드포인트가 추가되었습니다. 그러나 두 역할 유형의 생성 및 관리는 별개였습니다. 또한 ONTAP 9.10.1은 리소스 검증된 엔드포인트인 스냅샷 REST 엔드포인트 "/api/storage/volumes/{vol.uuid}/snapshots"에 대한 REST RBAC 지원을 추가했습니다.

ONTAP 9.11.1

이 릴리즈에서는 REST API를 사용하여 기존 역할을 구성 및 관리할 수 있는 기능이 추가되었습니다. REST 역할에 대한 추가 액세스 레벨도 추가되었습니다.