요청하신 자료를 사용할 수 없습니다. 이 버전의 제품에 적용되지 않거나 이 버전의 문서에서 관련 정보가 다르게 구성되어 있습니다. 제안 작업: 검색, 찾아보기 또는 다른 버전으로 돌아가기.

본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

ONTAP 사용자 역할 및 권한 구성

09/29/2025

PDF

ONTAP tools for VMware vSphere 및 ONTAP System Manager용 ONTAP 도구와 함께 제공되는 JSON 파일을 사용하여 스토리지 백엔드를 관리하기 위한 새로운 사용자 역할과 권한을 구성할 수 있습니다.

시작하기 전에

_\https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip_을 사용하여 ONTAP tools for VMware vSphere 에서 ONTAP 권한 파일을 다운로드했어야 합니다.

ONTAP 도구에서 ONTAP Privileges 파일을 다운로드했어야 합니다. https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip .

클러스터 또는 스토리지 가상 머신(SVM) 수준에서 직접 사용자를 생성할 수 있습니다. user_roles.json 파일을 사용하지 않고도 사용자를 생성할 수 있으며, 그렇게 하려면 SVM 수준에서 최소한의 권한이 필요합니다.

저장소 백엔드에 관리자 권한으로 로그인했어야 합니다.

단계

다운로드한 https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip 파일을 추출합니다.
클러스터의 클러스터 관리 IP 주소를 사용하여 ONTAP System Manager에 액세스합니다.
관리자 권한으로 클러스터에 로그인합니다. 사용자를 구성하려면 다음 단계를 수행하세요.
1. 클러스터 ONTAP 도구 사용자를 구성하려면 클러스터 > 설정 > 사용자 및 역할 창을 선택합니다.
2. SVM ONTAP 도구 사용자를 구성하려면 저장소 SVM > 설정 > 사용자 및 역할 창을 선택합니다.
3. 사용자에서 *추가*를 선택합니다.
4. 사용자 추가 대화 상자에서 *가상화 제품*을 선택합니다.
5. *찾아보기*하여 ONTAP Privileges JSON 파일을 선택하고 업로드합니다.
  
  제품 필드는 자동으로 채워집니다.
6. 드롭다운에서 제품 기능을 *VSC, VASA 공급자 및 SRA*로 선택합니다.
  
  역할 필드는 선택한 제품 기능에 따라 자동으로 채워집니다.
7. 필요한 사용자 이름과 비밀번호를 입력하세요.
8. 사용자에게 필요한 권한(검색, 저장소 생성, 저장소 수정, 저장소 삭제, NAS/SAN 역할)을 선택한 다음 *추가*를 선택합니다.

새로운 역할과 사용자가 추가되고, 구성한 역할에 따라 자세한 권한을 볼 수 있습니다.

SVM 집계 매핑 요구 사항

데이터 저장소 프로비저닝에 SVM 사용자 자격 증명을 사용하기 위해 ONTAP tools for VMware vSphere 데이터 저장소 POST API에 지정된 집계에 볼륨을 내부적으로 생성합니다. ONTAP SVM 사용자 자격 증명을 사용하여 SVM의 매핑되지 않은 집계에 볼륨을 생성하는 것을 허용하지 않습니다. 이 문제를 해결하려면 여기에 설명된 대로 ONTAP REST API 또는 CLI를 사용하여 SVM을 집계와 매핑해야 합니다.

REST API:

PATCH "/api/svm/svms/f16f0935-5281-11e8-b94d-005056b46485" '{"aggregates":{"name":["aggr1","aggr2","aggr3"]}}'

ONTAP CLI:

sti115_vsim_ucs630f_aggr1 vserver show-aggregates                                        AvailableVserver        Aggregate      State         Size Type    SnapLock Type-------------- -------------- ------- ---------- ------- --------------svm_test       sti115_vsim_ucs630f_aggr1                               online     10.11GB vmdisk  non-snaplock

ONTAP 사용자 및 역할을 수동으로 생성

JSON 파일을 사용하지 않고 수동으로 사용자와 역할을 생성하려면 이 섹션의 지침을 따르세요.

클러스터의 클러스터 관리 IP 주소를 사용하여 ONTAP System Manager에 액세스합니다.
관리자 권한으로 클러스터에 로그인합니다.
1. 클러스터 ONTAP 도구 역할을 구성하려면 클러스터 > 설정 > 사용자 및 역할 창을 선택합니다.
2. 클러스터 SVM ONTAP 도구 역할을 구성하려면 저장소 SVM > 설정 > 사용자 및 역할 창을 선택하세요.
역할 생성:
1. 역할 표에서 *추가*를 선택합니다.
2. 역할 이름*과 *역할 속성 세부 정보를 입력하세요.
  
  드롭다운에서 *REST API 경로*와 해당 액세스를 추가합니다.
3. 필요한 API를 모두 추가하고 변경 사항을 저장합니다.
사용자 생성:
1. 사용자 테이블에서 *추가*를 선택합니다.
2. 사용자 추가 대화 상자에서 *시스템 관리자*를 선택합니다.
3. *사용자 이름*을 입력하세요.
4. 위의 역할 만들기 단계에서 만든 옵션 중에서 *역할*을 선택합니다.
5. 접근 권한을 부여할 응용프로그램과 인증 방법을 입력하세요. 필수 애플리케이션은 ONTAPI와 HTTP이고, 인증 유형은 *비밀번호*입니다.
6. *사용자 비밀번호*를 설정하고 사용자를 *저장*합니다.

관리자가 아닌 글로벌 범위 클러스터 사용자에게 필요한 최소 권한 목록

이 섹션에는 users JSON 파일을 사용하지 않고 생성된 비관리자 글로벌 범위 클러스터 사용자에 필요한 최소 권한이 나와 있습니다. 로컬 범위에서 클러스터를 추가하는 경우, ONTAP tools for VMware vSphere ONTAP 프로비저닝에 읽기 권한 이상의 권한을 요구하므로 JSON 파일을 사용하여 사용자를 생성하는 것이 좋습니다.

API 사용:

API

접근 수준

에 사용됨

/api/클러스터

읽기 전용

클러스터 구성 검색

/api/cluster/licensing/licenses

읽기 전용

프로토콜별 라이센스에 대한 라이센스 확인

/api/클러스터/노드

읽기 전용

플랫폼 유형 검색

/api/보안/계정

읽기 전용

권한 검색

/api/보안/역할

읽기 전용

권한 검색

/api/storage/aggregates

읽기 전용

데이터 저장소/볼륨 프로비저닝 중 집계 공간 확인

/api/storage/cluster

읽기 전용

클러스터 수준 공간 및 효율성 데이터를 얻으려면

/api/storage/disks

읽기 전용

집계에 연결된 디스크를 가져오려면

/api/storage/qos/정책

읽기/생성/수정

QoS 및 VM 정책 관리

/api/svm/svms

읽기 전용

클러스터가 로컬로 추가된 경우 SVM 구성을 가져옵니다.

/api/네트워크/ip/인터페이스

읽기 전용

스토리지 백엔드 추가 - 관리 LIF 범위가 클러스터/SVM인지 식별합니다.

/api/storage/availability-zones

읽기 전용

SAZ 디스커버리. ONTAP 9.16.1 릴리스 이상 및 ASA r2 시스템에 적용됩니다.

VMware vSphere ONTAP API 기반 클러스터 범위 사용자를 ONTAP tools for VMware vSphere 생성

데이터 저장소에 오류가 발생한 경우 PATCH 작업과 자동 롤백을 수행하려면 검색, 생성, 수정 및 삭제 Privileges 필요합니다. 이러한 모든 권한이 부족하면 작업 흐름이 중단되고 정리에 문제가 발생합니다.

검색, 스토리지 생성, 스토리지 수정, 스토리지 삭제 권한이 있는 ONTAP tools for VMware vSphere ONTAP API 기반 사용자를 위한 ONTAP 도구를 생성하면 검색을 시작하고 ONTAP 도구 워크플로를 관리할 수 있습니다.

위에 언급된 모든 권한을 가진 클러스터 범위 사용자를 생성하려면 다음 명령을 실행하세요.

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all

security login rest-role create -role <role-name> -api /api/storage/volumes -access all

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all

security login rest-role create -role <role-name> -api /api/storage/luns -access all

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all

security login rest-role create -role <role-name> -api /api/storage/qos/policies -access all

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify

security login rest-role create -role <role-name> -api /api/cluster -access readonly

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly

security login rest-role create -role <role-name> -api /api/cluster/licensing/licenses -access readonly

security login rest-role create -role <role-name> -api /api/cluster/nodes -access readonly

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly

security login rest-role create -role <role-name> -api /api/security/roles -access readonly

security login rest-role create -role <role-name> -api /api/storage/aggregates -access readonly

security login rest-role create -role <role-name> -api /api/storage/cluster -access readonly

security login rest-role create -role <role-name> -api /api/storage/disks -access readonly

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly

또한 ONTAP 버전 9.16.0 이상의 경우 다음 명령을 실행합니다.

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all

ONTAP 버전 9.16.1 이상의 ASA r2 시스템의 경우 다음 명령을 실행합니다.

security login rest-role create -role <role-name> -api /api/storage/availability-zones -access readonly

VMware vSphere ONTAP API 기반 SVM 범위 사용자를 ONTAP tools for VMware vSphere 생성

모든 권한을 가진 SVM 범위 사용자를 생성하려면 다음 명령을 실행하세요.

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/volumes -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/luns -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/roles -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly -vserver <vserver-name>

또한 ONTAP 버전 9.16.0 이상의 경우 다음 명령을 실행합니다.

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all -vserver <vserver-name>

위에서 생성한 API 기반 역할을 사용하여 새로운 API 기반 사용자를 생성하려면 다음 명령을 실행하세요.

security login create -user-or-group-name <user-name> -application http -authentication-method password -role <role-name> -vserver <cluster-or-vserver-name>

예:

security login create -user-or-group-name testvpsraall -application http -authentication-method password -role OTV_10_VP_SRA_Discovery_Create_Modify_Destroy -vserver C1_sti160-cluster_

계정 잠금을 해제하고 관리 인터페이스에 대한 액세스를 활성화하려면 다음 명령을 실행하세요.

security login unlock -user <user-name> -vserver <cluster-or-vserver-name>

예:

security login unlock -username testvpsraall -vserver C1_sti160-cluster

ONTAP tools for VMware vSphere 업그레이드

JSON 파일을 사용하여 클러스터 범위 사용자를 생성한 ONTAP tools for VMware vSphere 의 경우, 사용자 관리자 권한으로 다음 ONTAP CLI 명령을 사용하여 10.3 릴리스로 업그레이드합니다.

제품 기능에 대해서는 다음을 참조하세요.

VSC
VSC 및 VASA 공급자
VSC와 SRA
VSC, VASA 공급자 및 SRA.

클러스터 권한:

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme 네임스페이스 표시" -access all

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme 하위 시스템 표시" -access all

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme 하위 시스템 호스트 표시" -access all

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme 하위 시스템 맵 표시" -access all

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme show-interface" -access read

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme 하위 시스템 호스트 추가" -access all

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme 하위 시스템 맵 추가" -access all

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme 네임스페이스 삭제" -access all

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme 하위 시스템 삭제" -access all

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme 하위 시스템 호스트 제거" -access all

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme 하위 시스템 맵 제거" -access all

json 파일을 사용하여 생성된 SVM 범위 사용자가 있는 ONTAP tools for VMware vSphere 의 경우, 관리자 권한으로 ONTAP CLI 명령을 사용하여 10.3 릴리스로 업그레이드합니다.

SVM 권한:

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme 네임스페이스 표시" -access all -vserver <vserver 이름>

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme 하위 시스템 표시" -access all -vserver <vserver 이름>

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme 하위 시스템 호스트 표시" -access all -vserver <vserver 이름>

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme 하위 시스템 맵 표시" -access all -vserver <vserver 이름>

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme show-interface" -access read -vserver <vserver 이름>

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme 하위 시스템 호스트 추가" -access all -vserver <vserver 이름>

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme 하위 시스템 맵 추가" -access all -vserver <vserver 이름>

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme 네임스페이스 삭제" -access all -vserver <vserver 이름>

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme 하위 시스템 삭제" -access all -vserver <vserver 이름>

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme 하위 시스템 호스트 제거" -access all -vserver <vserver 이름>

보안 로그인 역할 생성 -role <기존 역할 이름> -cmddirname "vserver nvme 하위 시스템 맵 제거" -access all -vserver <vserver 이름>

기존 역할에 vserver nvme namespace show 및 vserver nvme subsystem show 명령을 추가하면 다음 명령이 추가됩니다.

vserver nvme namespace create

vserver nvme namespace modify

vserver nvme subsystem create

vserver nvme subsystem modify

ONTAP tools for VMware vSphere 업그레이드

ONTAP 9.16.1부터 ONTAP tools for VMware vSphere 10.4 사용자용으로 업그레이드하세요.

JSON 파일과 ONTAP 버전 9.16.1 이상을 사용하여 생성된 클러스터 범위 사용자를 가진 ONTAP tools for VMware vSphere 의 경우, 관리자 권한으로 ONTAP CLI 명령을 사용하여 10.4 릴리스로 업그레이드합니다.

제품 기능에 대해서는 다음을 참조하세요.

VSC
VSC 및 VASA 공급자
VSC와 SRA
VSC, VASA 공급자 및 SRA.

클러스터 권한:

security login role create -role <existing-role-name> -cmddirname "storage availability-zone show" -access all

ONTAP 사용자 역할 및 권한 구성

Creating your file...

SVM 집계 매핑 요구 사항

ONTAP 사용자 및 역할을 수동으로 생성

관리자가 아닌 글로벌 범위 클러스터 사용자에게 필요한 최소 권한 목록

VMware vSphere ONTAP API 기반 클러스터 범위 사용자를 ONTAP tools for VMware vSphere 생성

VMware vSphere ONTAP API 기반 SVM 범위 사용자를 ONTAP tools for VMware vSphere 생성

ONTAP tools for VMware vSphere 업그레이드

ONTAP tools for VMware vSphere 업그레이드