본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

ONTAP 에서 JIT 권한 상승 구성

08/05/2025 기여자

ONTAP 9.17.1부터 클러스터 관리자는 JIT(Just-In-Time) 권한 상승을 구성하여 ONTAP 사용자가 특정 작업을 수행할 수 있도록 일시적으로 권한을 상승시킬 수 있습니다. JIT가 사용자에 대해 구성된 경우, "그들의 특권을 높이다" 작업을 수행하는 데 필요한 권한이 있는 역할로 전환됩니다. 세션 기간이 만료되면 사용자는 원래 액세스 수준으로 돌아갑니다.

클러스터 관리자는 사용자가 JIT 권한 상승에 액세스할 수 있는 기간을 구성할 수 있습니다. 예를 들어, 사용자 JIT 권한 상승 액세스를 세션당 30분(세션 유효 기간)으로 설정하고 30일(JIT 유효 기간) 동안 사용할 수 있도록 구성할 수 있습니다. 30일 동안 사용자는 필요한 만큼 권한을 상승시킬 수 있지만, 각 세션은 30분으로 제한됩니다.

JIT 권한 승격은 최소 권한 원칙을 지원하여 사용자가 승격된 권한이 필요한 작업을 수행할 때 해당 권한을 영구적으로 부여하지 않아도 되도록 합니다. 이를 통해 무단 접근이나 실수로 인한 시스템 변경 위험을 줄일 수 있습니다. 다음 예시에서는 JIT 권한 승격의 일반적인 사용 사례를 설명합니다.

임시 액세스를 허용합니다. security login create 그리고 security login delete 사용자의 온보딩 및 오프보딩을 가능하게 하는 명령입니다.
임시 액세스 허용 system node image update 그리고 system node upgrade-revert 업데이트 기간 동안. 업데이트가 완료되면 명령 액세스가 취소됩니다.
임시 액세스 허용 cluster add-node , cluster remove-node , 그리고 cluster modify 클러스터 확장 또는 재구성을 활성화합니다. 클러스터 변경이 완료되면 명령 액세스가 취소됩니다.
임시 액세스 허용 volume snapshot restore 복원 작업 및 백업 대상 관리를 활성화합니다. 복원 또는 구성이 완료되면 명령 액세스 권한이 취소됩니다.
임시 액세스 허용 security audit log show 규정 준수 검사 중에 감사 로그 검토 및 내보내기를 활성화합니다.

일반적인 JIT 사용 사례에 대한 더 자세한 목록은 다음을 참조하세요. 일반적인 JIT 사용 사례 .

클러스터 관리자는 ONTAP 사용자에 대한 JIT 액세스를 설정하고, 클러스터 전체 또는 특정 SVM에 대해 기본 JIT 유효 기간을 구성할 수 있습니다.

이 작업에 대해

JIT 권한 승격은 SSH를 통해 ONTAP 에 액세스하는 사용자에게만 제공됩니다. 승격된 권한은 사용자의 현재 SSH 세션 내에서만 사용할 수 있지만, 필요한 만큼의 동시 SSH 세션 내에서 권한을 승격할 수 있습니다.
JIT 권한 승격은 비밀번호, nsswitch 또는 도메인 인증을 사용하여 로그인하는 사용자에게만 지원됩니다. 다중 요소 인증(MFA)은 JIT 권한 승격에 지원되지 않습니다.

시작하기 전에

ONTAP 클러스터 관리자여야 합니다. admin 다음 작업을 수행하기 위한 권한 수준입니다.

글로벌 JIT 설정 수정

ONTAP 클러스터 전체 또는 특정 SVM에 대해 기본 JIT 설정을 수정할 수 있습니다. 이러한 설정은 JIT 액세스 권한이 구성된 사용자의 기본 세션 유효 기간과 최대 JIT 유효 기간을 결정합니다.

이 작업에 대해

기본값 default-session-validity-period 값은 1시간입니다. 이 설정은 사용자가 JIT 세션에서 상승된 권한에 액세스할 수 있는 시간을 결정합니다. 이 시간이 지나면 다시 상승해야 합니다.
기본값 max-jit-validity-period 값은 90일입니다. 이 설정은 구성된 시작일 이후 사용자가 JIT 권한 상승에 액세스할 수 있는 최대 기간을 결정합니다. 개별 사용자별로 JIT 유효 기간을 설정할 수 있지만, 최대 JIT 유효 기간을 초과할 수 없습니다.

단계

현재 JIT 설정을 확인하세요.
```
security jit-privilege show -vserver <svm_name>
```
-vserver 는 선택 사항입니다. SVM을 지정하지 않으면 명령은 전역 JIT 설정을 표시합니다.
JIT 설정을 전역적으로 또는 SVM에 대해 수정합니다.
```
security jit-privilege modify -vserver <svm_name> -default-session-validity-period <period> -max-jit-validity-period <period>
```
SVM을 지정하지 않으면 명령이 전역 JIT 설정을 수정합니다. 다음 예제는 SVM의 기본 JIT 세션 기간을 45분으로, 최대 JIT 기간을 30일로 설정합니다. svm1 :
security jit-privilege modify -vserver svm1 -default-session-validity-period 45m -max-jit-validity-period 30d

이 예에서 사용자는 한 번에 45분 동안 JIT 권한 상승에 액세스할 수 있으며 구성된 시작 날짜로부터 최대 30일 동안 JIT 세션을 시작할 수 있습니다.

사용자에 대한 JIT 권한 승격 액세스 구성

ONTAP 사용자에게 JIT 권한 상승 액세스를 할당할 수 있습니다.

단계

사용자의 현재 JIT 액세스를 확인하세요.
```
security jit-privilege user show -username <username>
```
-username 는 선택 사항입니다. 사용자 이름을 지정하지 않으면 모든 사용자의 JIT 액세스 권한이 표시됩니다.
사용자에게 새로운 JIT 액세스 권한 할당:
```
security jit-privilege create -username <username> -vserver <svm_name> -role <rbac_role> -session-validity-period <period> -jit-validity-period <period> -start-time <date>
```
- 만약에 -vserver 지정되지 않으면 JIT 액세스는 클러스터 수준에서 할당됩니다.
- -role 사용자가 승격될 RBAC 역할입니다. 지정하지 않으면 -role 기본값으로 설정됨 admin .
- -session-validity-period 사용자가 새 JIT 세션을 시작하기 전에 승격된 역할에 액세스할 수 있는 기간입니다. 지정하지 않으면 전역 또는 SVM default-session-validity-period 사용됩니다.
- -jit-validity-period 구성된 시작 날짜 이후 사용자가 JIT 세션을 시작할 수 있는 최대 기간입니다. 지정하지 않으면 session-validity-period 사용됩니다. 이 매개변수는 전역 또는 SVM을 초과할 수 없습니다. max-jit-validity-period .
- -start-time 사용자가 JIT 세션을 시작할 수 있는 날짜와 시간입니다. 지정하지 않으면 현재 날짜와 시간이 사용됩니다.
  
  다음 예제에서는 다음을 허용합니다. ontap_user 에 접근하려면 admin 새로운 JIT 세션을 시작하기 전에 1시간 동안 역할을 수행해야 합니다. ontap_user 2025년 7월 1일 오후 1시부터 60일 동안 JIT 세션을 시작할 수 있습니다. security jit-privilege user create -username ontap_user -role admin -session-validity-period 1h -jit-validity-period 60d -start-time "7/1/25 13:00:00"
필요한 경우 사용자의 JIT 액세스를 취소합니다.
```
security jit-privilege user delete -username <username> -vserver <svm_name>
```
사용자의 JIT 액세스를 취소합니다. -vserver 지정되지 않으면 JIT 액세스가 클러스터 수준에서 취소됩니다. 사용자가 활성 JIT 세션에 있는 경우 세션이 종료됩니다.

일반적인 JIT 사용 사례

다음 표에는 JIT 권한 승격의 일반적인 사용 사례가 나와 있습니다. 각 사용 사례에 대해 관련 명령에 대한 액세스를 제공하도록 RBAC 역할을 구성해야 합니다. 각 명령은 ONTAP 명령 참조에 연결되어 있으며, 해당 명령 및 매개변수에 대한 자세한 정보를 제공합니다.

사용 사례 명령 세부

사용 사례	명령	세부
사용자 및 역할 관리	'보안 로그인 생성' '보안 로그인 삭제	온보딩 또는 오프보딩 중에 사용자를 추가/제거하거나 역할을 변경하기 위해 일시적으로 권한을 상승시킵니다.
인증서 관리	`security certificate create` `security certificate install`	인증서 설치 또는 갱신을 위해 단기 액세스 권한을 부여합니다.
SSH/CLI 액세스 제어	`security login create -application ssh`	문제 해결이나 공급업체 지원을 위해 일시적으로 SSH 액세스를 허용합니다.
라이센스 관리	`system license add` `system license delete`	기능 활성화 또는 비활성화 중에 라이선스를 추가하거나 제거할 수 있는 권한을 부여합니다.
시스템 업그레이드 및 패치	`system node image update` `system node upgrade-revert`	업그레이드 창에 대한 권한을 높인 다음 취소합니다.
네트워크 보안 설정	`security login role create` `security login role modify`	네트워크 관련 보안 역할에 대한 임시 변경을 허용합니다.
클러스터 관리	`cluster add-node` `cluster remove-node` `cluster modify`	클러스터 확장이나 재구성을 위해 Elevate를 사용합니다.
SVM 관리	`vserver create` `vserver delete` `vserver modify`	SVM에 프로비저닝 또는 서비스 해제를 위한 관리자 권한을 일시적으로 부여합니다.
볼륨 관리	'볼륨 생성' '볼륨 삭제' 볼륨 수정	볼륨 프로비저닝, 크기 조정 또는 제거를 위해 높이십시오.
스냅샷 관리	'볼륨 스냅샷 생성' '볼륨 스냅샷 삭제' '볼륨 스냅샷 복원'	복구 중에 스냅샷을 삭제하거나 복원하려면 Elevate를 사용합니다.
네트워크 구성	`network interface create` `network port vlan create`	유지 관리 기간 동안 네트워크 변경에 대한 권한을 부여합니다.
디스크/집계 관리	`storage disk assign` `storage aggregate create` '스토리지 집계 추가 디스크'	디스크를 추가, 제거하거나 집계를 관리하기 위해 Elevate를 사용합니다.
데이터 보호	스냅미러 생성 `snapmirror modify` `snapmirror restore`	SnapMirror 관계를 구성하거나 복원하기 위해 일시적으로 상승합니다.
성능 튜닝	`qos policy-group create` `qos policy-group modify`	성능 문제 해결이나 튜닝을 위해 Elevate를 활용하세요.
감사 로그 액세스	보안 감사 로그 쇼	규정 준수 검사 중에 감사 로그 검토 또는 내보내기를 위해 일시적으로 상승합니다.
이벤트 및 알림 관리	`event notification create` `event notification modify`	이벤트 알림이나 SNMP 트랩을 구성하거나 테스트하기 위해 Elevate를 사용합니다.
규정 준수 기반 데이터 액세스	'볼륨 쇼' 보안 감사 로그 쇼	감사자가 민감한 데이터나 로그를 검토할 수 있도록 일시적으로 읽기 전용 액세스 권한을 부여합니다.
특권 액세스 검토	'보안 로그인 쇼' `security login role show`	일시적으로 권한을 승격하여 권한 있는 접근 권한을 검토하고 보고합니다. 제한된 시간 동안 읽기 전용의 권한 승격된 접근 권한을 부여합니다.

사용자 및 역할 관리

'보안 로그인 생성'
'보안 로그인 삭제

온보딩 또는 오프보딩 중에 사용자를 추가/제거하거나 역할을 변경하기 위해 일시적으로 권한을 상승시킵니다.

인증서 관리

security certificate create
security certificate install

인증서 설치 또는 갱신을 위해 단기 액세스 권한을 부여합니다.

SSH/CLI 액세스 제어

security login create -application ssh

문제 해결이나 공급업체 지원을 위해 일시적으로 SSH 액세스를 허용합니다.

라이센스 관리

system license add
system license delete

기능 활성화 또는 비활성화 중에 라이선스를 추가하거나 제거할 수 있는 권한을 부여합니다.

시스템 업그레이드 및 패치

system node image update
system node upgrade-revert

업그레이드 창에 대한 권한을 높인 다음 취소합니다.

네트워크 보안 설정

security login role create
security login role modify

네트워크 관련 보안 역할에 대한 임시 변경을 허용합니다.

클러스터 관리

cluster add-node
cluster remove-node
cluster modify

클러스터 확장이나 재구성을 위해 Elevate를 사용합니다.

SVM 관리

vserver create
vserver delete
vserver modify

SVM에 프로비저닝 또는 서비스 해제를 위한 관리자 권한을 일시적으로 부여합니다.

볼륨 관리

'볼륨 생성'
'볼륨 삭제'
볼륨 수정

볼륨 프로비저닝, 크기 조정 또는 제거를 위해 높이십시오.

스냅샷 관리

'볼륨 스냅샷 생성'
'볼륨 스냅샷 삭제'
'볼륨 스냅샷 복원'

복구 중에 스냅샷을 삭제하거나 복원하려면 Elevate를 사용합니다.

네트워크 구성

network interface create
network port vlan create

유지 관리 기간 동안 네트워크 변경에 대한 권한을 부여합니다.

디스크/집계 관리

storage disk assign
storage aggregate create
'스토리지 집계 추가 디스크'

디스크를 추가, 제거하거나 집계를 관리하기 위해 Elevate를 사용합니다.

데이터 보호

스냅미러 생성
snapmirror modify
snapmirror restore

SnapMirror 관계를 구성하거나 복원하기 위해 일시적으로 상승합니다.

성능 튜닝

qos policy-group create
qos policy-group modify

성능 문제 해결이나 튜닝을 위해 Elevate를 활용하세요.

감사 로그 액세스

보안 감사 로그 쇼

규정 준수 검사 중에 감사 로그 검토 또는 내보내기를 위해 일시적으로 상승합니다.

이벤트 및 알림 관리

event notification create
event notification modify

이벤트 알림이나 SNMP 트랩을 구성하거나 테스트하기 위해 Elevate를 사용합니다.

규정 준수 기반 데이터 액세스

'볼륨 쇼'
보안 감사 로그 쇼

감사자가 민감한 데이터나 로그를 검토할 수 있도록 일시적으로 읽기 전용 액세스 권한을 부여합니다.

특권 액세스 검토

'보안 로그인 쇼'
security login role show

일시적으로 권한을 승격하여 권한 있는 접근 권한을 검토하고 보고합니다. 제한된 시간 동안 읽기 전용의 권한 승격된 접근 권한을 부여합니다.

ONTAP 에서 JIT 권한 상승 구성

Creating your file...

글로벌 JIT 설정 수정

사용자에 대한 JIT 권한 승격 액세스 구성

일반적인 JIT 사용 사례