ONTAP 스토리지 시스템 및 vSphere 객체에 대한 사용 권한
ONTAP RBAC(역할 기반 액세스 제어)를 사용하여 특정 스토리지 시스템에 대한 액세스를 제어하고 해당 스토리지 시스템에서 사용자가 수행할 수 있는 작업을 제어할 수 있습니다. VMware vSphere용 ONTAP ® 툴에서 ONTAP RBAC는 vCenter Server RBAC와 함께 사용하여 특정 사용자가 특정 스토리지 시스템의 개체에 대해 수행할 수 있는 VSC(가상 스토리지 콘솔) 작업을 결정합니다.
VSC에서는 VSC 내에서 설정한 자격 증명(사용자 이름 및 암호)을 사용하여 각 스토리지 시스템을 인증하고 해당 스토리지 시스템에서 수행할 수 있는 스토리지 작업을 결정합니다. VSC는 스토리지 시스템마다 하나의 자격 증명 세트를 사용합니다. 이러한 자격 증명을 통해 해당 스토리지 시스템에서 수행할 수 있는 VSC 작업을 결정합니다. 즉, 개별 VSC 사용자에 대한 자격 증명이 아니라 VSC에 대한 자격 증명입니다.
ONTAP RBAC는 스토리지 시스템에 액세스하고 가상 시스템 프로비저닝과 같은 스토리지와 관련된 VSC 작업을 수행하는 경우에만 적용됩니다. 특정 스토리지 시스템에 적합한 ONTAP RBAC 권한이 없는 경우 해당 스토리지 시스템에 호스팅된 vSphere 객체에서 작업을 수행할 수 없습니다. ONTAP RBAC와 VSC별 권한을 함께 사용하여 사용자가 수행할 수 있는 VSC 작업을 제어할 수 있습니다.
-
스토리지 시스템에 상주하는 스토리지 또는 vCenter Server 객체를 모니터링하고 구성합니다
-
스토리지 시스템에 상주하는 vSphere 객체를 프로비저닝합니다
VSC별 권한과 함께 ONTAP RBAC를 사용하면 스토리지 관리자가 관리할 수 있는 스토리지 중심의 보안 계층을 제공합니다. 따라서 ONTAP RBAC와 단독으로 또는 vCenter Server RBAC가 지원하는 것보다 세분화된 액세스 제어를 사용할 수 있습니다. 예를 들어 vCenter Server RBAC에서 vCenterUserA가 데이터 저장소를 프로비저닝하지 않도록 하면서 NetApp 스토리지에 데이터 저장소를 프로비저닝하도록 설정할 수 있습니다. 특정 스토리지 시스템의 스토리지 시스템 자격 증명이 스토리지 생성을 지원하지 않는 경우 vCenterUserB와 vCenterUserA는 해당 스토리지 시스템에서 데이터 저장소를 프로비저닝할 수 없습니다.
VSC 작업을 시작할 때 VSC는 먼저 해당 작업에 대한 올바른 vCenter Server 권한이 있는지 확인합니다. vCenter Server의 권한이 부족하여 작업을 수행할 수 없는 경우, 초기 vCenter Server 보안 검사를 통과하지 못했기 때문에 VSC에서 해당 스토리지 시스템에 대한 ONTAP 권한을 확인할 필요가 없습니다. 따라서 스토리지 시스템에 액세스할 수 없습니다.
vCenter Server의 사용 권한이 충분하면 VSC는 스토리지 시스템 자격 증명(사용자 이름 및 암호)과 연결된 ONTAP RBAC 권한(ONTAP 역할)을 확인합니다. 해당 스토리지 시스템에서 VSC 작업에 필요한 스토리지 작업을 수행할 수 있는 충분한 권한이 있는지 확인합니다. 올바른 ONTAP 권한이 있으면 스토리지 시스템에 액세스하여 VSC 작업을 수행할 수 있습니다. ONTAP 역할에 따라 스토리지 시스템에서 수행할 수 있는 VSC 작업이 결정됩니다.
각 스토리지 시스템에는 하나의 ONTAP 권한 세트가 연결되어 있습니다.
ONTAP RBAC와 vCenter Server RBAC를 모두 사용하면 다음과 같은 이점이 있습니다.
-
보안
관리자는 세분화된 vCenter Server 객체 레벨과 스토리지 시스템 레벨에서 어떤 작업을 수행할 수 있는지 제어할 수 있습니다.
-
감사 정보
대부분의 경우 VSC는 스토리지 시스템에 대한 감사 추적을 제공하므로 스토리지 수정을 수행한 vCenter Server 사용자에게 이벤트를 다시 추적할 수 있습니다.
-
사용 편의성
모든 컨트롤러 자격 증명을 한 곳에서 유지 관리할 수 있습니다.
VMware vSphere용 ONTAP 툴을 사용할 때 권장되는 ONTAP 역할
VMware vSphere 및 역할 기반 액세스 제어(RBAC)에 대한 ONTAP ® 툴로 작업하기 위해 몇 가지 권장되는 ONTAP 역할을 설정할 수 있습니다. 이러한 역할에는 VSC(가상 스토리지 콘솔) 작업에서 실행되는 필수 스토리지 작업을 수행하는 데 필요한 ONTAP 권한이 포함되어 있습니다.
새 사용자 역할을 생성하려면 ONTAP를 실행하는 스토리지 시스템에서 관리자로 로그인해야 합니다. 다음 중 하나를 사용하여 ONTAP 역할을 만들 수 있습니다.
-
ONTAP 시스템 관리자 9.8P1 이상
-
RBAC ONTAP용 사용자 작성자 도구(ONTAP 9.6 이하를 사용하는 경우)
각 ONTAP 역할에는 해당 역할의 자격 증명을 구성하는 연결된 사용자 이름 및 암호 쌍이 있습니다. 이러한 자격 증명을 사용하여 로그인하지 않으면 해당 역할과 연결된 스토리지 작업에 액세스할 수 없습니다.
보안 조치로서 VSC별 ONTAP 역할은 계층적으로 정렬됩니다. 즉, 첫 번째 역할이 가장 제한적인 역할이며 가장 기본적인 VSC 스토리지 운영 세트와 연관된 권한만 가집니다. 다음 역할에는 자신의 권한과 이전 역할과 연결된 모든 권한이 모두 포함됩니다. 각각의 추가 역할은 지원되는 스토리지 작업과 관련하여 덜 제한적입니다.
다음은 VSC를 사용할 때 권장되는 ONTAP RBAC 역할 중 일부입니다. 이러한 역할을 생성한 후에는 가상 시스템 프로비저닝과 같은 스토리지 관련 작업을 수행해야 하는 사용자에게 역할을 할당할 수 있습니다.
-
탐색
이 역할을 통해 스토리지 시스템을 추가할 수 있습니다.
-
스토리지 생성
이 역할을 사용하여 스토리지를 생성할 수 있습니다. 이 역할에는 검색 역할과 연결된 모든 권한도 포함됩니다.
-
스토리지 수정
이 역할을 사용하여 스토리지를 수정할 수 있습니다. 이 역할에는 검색 역할 및 스토리지 생성 역할과 연결된 모든 권한도 포함됩니다.
-
스토리지 폐기
이 역할을 사용하면 스토리지를 제거할 수 있습니다. 이 역할에는 검색 역할, 스토리지 생성 역할 및 스토리지 수정 역할과 연결된 모든 권한도 포함됩니다.
VASA Provider for ONTAP를 사용하는 경우 PBM(정책 기반 관리) 역할도 설정해야 합니다. 이 역할을 통해 스토리지 정책을 사용하여 스토리지를 관리할 수 있습니다. 이 역할을 수행하려면 "Discovery" 역할도 설정해야 합니다.