본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

다중 관리 검증 개요

기여자

ONTAP 9.11.1부터 MAV(Multi-admin verification)를 사용하여 볼륨 삭제 또는 스냅샷 복사본 삭제와 같은 특정 작업이 지정된 관리자의 승인 후에만 실행될 수 있는지 확인할 수 있습니다. 따라서 손상되거나 악의적이거나 경험이 부족한 관리자가 원치 않는 변경 또는 데이터 삭제를 방지할 수 있습니다.

다중 관리자 검증 구성은 다음과 같이 구성됩니다.

초기 구성 후에는 MAV 승인 그룹(MAV 관리자)의 관리자만 이러한 요소를 수정할 수 있습니다.

다중 관리자 확인이 활성화된 경우 모든 보호된 작업을 완료하려면 다음 단계를 수행해야 합니다.

사용자가 작업을 시작하면, 가 표시됩니다 "요청이 생성되었습니다."
실행하기 전에 최소 1개 이상 "MAV 관리자가 승인해야 합니다."
승인 시 사용자는 작업을 완료합니다.

MAV 관리자의 승인 없이 다중 관리 검증 기능을 사용하지 않도록 설정해야 하는 경우 NetApp Support에 다음 기술 자료 문서를 멘션하십시오. "MAV 관리자를 사용할 수 없는 경우 다중 관리 확인을 비활성화하는 방법".

멀티 관리 검증은 작업이 완료되기 전에 각 자동화 작업이 승인을 받아야 하기 때문에 대량 자동화가 필요한 볼륨 또는 워크플로우에서 사용할 수 없습니다. 자동화와 MAV를 함께 사용하려면 특정 MAV 작업에 쿼리를 사용하는 것이 좋습니다. 예를 들어, 지원할 수 있습니다 volume delete MAV 규칙은 자동화가 관련되지 않은 볼륨에만 적용되며 특정 명명 체계를 사용하여 해당 볼륨을 지정할 수 있습니다.

Cloud Volumes ONTAP에서는 다중 관리자 인증을 사용할 수 없습니다.

다중 관리 확인 작동 방식

다중 관리 검증의 구성:

승인 및 거부권을 가진 하나 이상의 관리자 그룹.
_rules table_의 보호된 작업 또는 명령 집합.
보호된 작업의 실행을 식별하고 제어하기 위한 _ 규칙 엔진 _.

역할 기반 액세스 제어(RBAC) 규칙 이후에 MAV 규칙을 평가합니다. 따라서 보호된 작업을 실행하거나 승인하는 관리자는 해당 작업에 대한 최소 RBAC 권한을 이미 가지고 있어야 합니다. "RBAC에 대해 자세히 알아보십시오".

시스템 정의 규칙

다중 관리 검증이 활성화된 경우 시스템 정의 규칙(_guard-rail_rules라고도 함)은 MAV 프로세스 자체를 회피하는 위험을 포함할 수 있는 일련의 MAV 작업을 설정합니다. 이러한 작업은 규칙 테이블에서 제거할 수 없습니다. MAV가 활성화되면 별표(*)로 지정된 작업은 실행 전에 하나 이상의 관리자가 승인해야 합니다. 단, * show * 명령은 예외입니다.

security multi-admin-verify modify 작동 *

다중 관리 검증 기능의 구성을 제어합니다.
security multi-admin-verify approval-group 운영 *

여러 관리자 확인 자격 증명을 사용하여 관리자 집합에서 구성원 자격을 제어합니다.
security multi-admin-verify rule 운영 *

admin이 여러 개인 검증이 필요한 명령 세트 제어
'보안 멀티-관리-검증 요청' 작업

승인 프로세스를 제어합니다.

규칙으로 보호된 명령

시스템 정의 작업 외에도 다중 관리자 확인이 사용될 경우 다음 명령은 기본적으로 보호되지만, 이러한 명령에 대한 보호를 제거하도록 규칙을 수정할 수 있습니다.

'보안 로그인 비밀번호
보안 로그인 잠금 해제
'세트'

각 ONTAP 버전은 다중 관리자 확인 규칙으로 보호할 수 있는 더 많은 명령을 제공합니다. 보호에 사용할 수 있는 명령의 전체 목록을 보려면 ONTAP 릴리스를 선택하십시오.

9.15.1

cluster date modify (영어
cluster log-forwarding create (영어
cluster log-forwarding delete (영어
cluster log-forwarding modify (영어
'클러스터 피어 삭제'
cluster time-service ntp server create (영어
cluster time-service ntp server delete (영어
cluster time-service ntp server key create (영어
cluster time-service ntp server key delete (영어
cluster time-service ntp server key modify (영어
cluster time-service ntp server modify (영어
이벤트 구성 수정
lun delete (영어
security anti-ransomware volume attack clear-suspect ¹
security anti-ransomware volume disable ¹
security anti-ransomware volume pause ¹
security audit modify (영어
security ipsec config modify (영어
security ipsec policy create (영어
security ipsec policy delete (영어
security ipsec policy modify (영어
'보안 로그인 생성'
'보안 로그인 삭제
보안 로그인 수정
security saml-sp create (영어
security saml-sp delete (영어
security saml-sp modify (영어
snaplock legal-hold end (영어
storage aggregate delete (영어
storage encryption disk destroy (영어
storage encryption disk modify (영어
storage encryption disk revert-to-original-state (영어
storage encryption disk sanitize (영어
system bridge run-cli (영어
system controller flash-cache secure-erase run (영어
system controller service-event delete (영어
system health alert delete (영어
system health alert modify (영어
system health policy definition modify (영어
system node autosupport modify (영어
system node autosupport trigger modify (영어
system node coredump delete (영어
system node coredump delete-all (영어
system node hardware nvram-encryption modify (영어
'시스템 노드 실행
'시스템 노드 시스템 쉘'
system script delete (영어
system service-processor ssh add-allowed-addresses (영어
system service-processor ssh remove-allowed-addresses (영어
system smtape restore (영어
system switch ethernet log disable-collection (영어
system switch ethernet log modify (영어
timezone (영어
volume create (영어
'볼륨 삭제'
volume encryption conversion start (영어
volume encryption rekey start (영어
volume file privileged-delete (영어
볼륨 FlexCache 삭제
volume modify (영어
volume recovery-queue modify ²
volume recovery-queue purge ²
volume recovery-queue purge-all ²
volume snaplock modify ¹
'볼륨 스냅샷 자동 삭제 수정'
volume snapshot create (영어
'볼륨 스냅샷 삭제'
volume snapshot modify (영어
볼륨 스냅샷 정책 추가 스케줄
볼륨 스냅샷 정책 생성
볼륨 스냅샷 정책 삭제
볼륨 스냅샷 정책 수정
볼륨 스냅샷 정책 수정 스케줄
볼륨 스냅샷 정책 제거 스케줄
volume snapshot rename (영어
'볼륨 스냅샷 복원'
vserver audit create (영어
vserver audit delete (영어
vserver audit disable (영어
vserver audit modify (영어
vserver audit rotate-log (영어
vserver delete (영어
vserver modify ²
vserver object-store-server audit create (영어
vserver object-store-server audit delete (영어
vserver object-store-server audit disable (영어
vserver object-store-server audit modify (영어
vserver object-store-server audit rotate-log (영어
vserver options (영어
'vserver peer delete
vserver security file-directory apply (영어
vserver security file-directory remove-slag (영어
vserver vscan disable (영어
vserver vscan on-access-policy create (영어
vserver vscan on-access-policy delete (영어
vserver vscan on-access-policy disable (영어
vserver vscan on-access-policy modify (영어
vserver vscan scanner-pool create (영어
vserver vscan scanner-pool delete (영어
vserver vscan scanner-pool modify (영어

9.14.1

'클러스터 피어 삭제'
이벤트 구성 수정
security anti-ransomware volume attack clear-suspect ¹
security anti-ransomware volume disable ¹
security anti-ransomware volume pause ¹
'보안 로그인 생성'
'보안 로그인 삭제
보안 로그인 수정
'시스템 노드 실행
'시스템 노드 시스템 쉘'
'볼륨 삭제'
볼륨 FlexCache 삭제
volume recovery-queue modify ²
volume recovery-queue purge ²
volume recovery-queue purge-all ²
volume snaplock modify ¹
'볼륨 스냅샷 자동 삭제 수정'
'볼륨 스냅샷 삭제'
볼륨 스냅샷 정책 추가 스케줄
볼륨 스냅샷 정책 생성
volume snapshot policy delete *
볼륨 스냅샷 정책 수정
볼륨 스냅샷 정책 수정 스케줄
볼륨 스냅샷 정책 제거 스케줄
'볼륨 스냅샷 복원'
vserver modify ²
'vserver peer delete

9.13.1

'클러스터 피어 삭제'
이벤트 구성 수정
security anti-ransomware volume attack clear-suspect ¹
security anti-ransomware volume disable ¹
security anti-ransomware volume pause ¹
'보안 로그인 생성'
'보안 로그인 삭제
보안 로그인 수정
'시스템 노드 실행
'시스템 노드 시스템 쉘'
'볼륨 삭제'
볼륨 FlexCache 삭제
volume snaplock modify ¹
'볼륨 스냅샷 자동 삭제 수정'
'볼륨 스냅샷 삭제'
볼륨 스냅샷 정책 추가 스케줄
볼륨 스냅샷 정책 생성
volume snapshot policy delete *
볼륨 스냅샷 정책 수정
볼륨 스냅샷 정책 수정 스케줄
볼륨 스냅샷 정책 제거 스케줄
'볼륨 스냅샷 복원'
'vserver peer delete

9.12.1 / 9.11.1

'클러스터 피어 삭제'
이벤트 구성 수정
'보안 로그인 생성'
'보안 로그인 삭제
보안 로그인 수정
'시스템 노드 실행
'시스템 노드 시스템 쉘'
'볼륨 삭제'
볼륨 FlexCache 삭제
'볼륨 스냅샷 자동 삭제 수정'
'볼륨 스냅샷 삭제'
볼륨 스냅샷 정책 추가 스케줄
볼륨 스냅샷 정책 생성
volume snapshot policy delete *
볼륨 스냅샷 정책 수정
볼륨 스냅샷 정책 수정 스케줄
볼륨 스냅샷 정책 제거 스케줄
'볼륨 스냅샷 복원'
'vserver peer delete

9.13.1에 대한 새로운 규칙 보호 명령입니다
9.14.1에 대한 새로운 규칙 보호 명령입니다
9.15.1에 대한 새로운 규칙 보호 명령입니다

*이 명령은 CLI에서만 사용할 수 있으며 System Manager에서는 사용할 수 없습니다.

여러 관리자의 승인 방식

보호된 작업이 MAV 보호 클러스터에 입력될 때마다 작업 실행 요청이 지정된 MAV 관리자 그룹으로 전송됩니다.

다음을 구성할 수 있습니다.

MAV 그룹의 이름, 연락처 정보 및 관리자 수

MAV 관리자는 클러스터 관리자 권한이 있는 RBAC 역할을 가지고 있어야 합니다.
MAV 관리자 그룹 수
- 각 보호된 작업 규칙에 대해 MAV 그룹이 할당됩니다.
- 여러 MAV 그룹의 경우 지정된 규칙을 승인하는 MAV 그룹을 구성할 수 있습니다.
보호된 작업을 실행하는 데 필요한 MAV 승인 수입니다.
MAV 관리자가 승인 요청에 응답해야 하는 _ 승인 만료 _ 기간.
요청 관리자가 작업을 완료해야 하는 _ 실행 expiry_period입니다.

이러한 매개 변수가 구성되면 이를 수정하려면 MAV 승인이 필요합니다.

MAV 관리자는 보호된 작업을 실행하기 위한 자체 요청을 승인할 수 없습니다. 즉,

관리자가 한 명 있는 클러스터에서는 MAV를 사용하지 않아야 합니다.
MAV 그룹에 한 명만 있는 경우 MAV 관리자는 보호된 작업을 시작할 수 없습니다. 정규 관리자는 보호된 작업을 시작해야 하며 MAV 관리자는 승인만 할 수 있습니다.
MAV 관리자가 보호된 작업을 실행할 수 있도록 하려면 MAV 관리자 수가 필요한 승인 수보다 1개 이상 커야 합니다. 예를 들어 보호된 작업에 대해 두 번의 승인이 필요하고 MAV 관리자가 이를 실행하도록 하려면 MAV administrators 그룹에 세 명의 사용자가 있어야 합니다.

MAV 관리자는 전자 메일 알림(EMS 사용)으로 승인 요청을 받거나 요청 대기열을 쿼리할 수 있습니다. 요청을 받으면 다음 세 가지 작업 중 하나를 수행할 수 있습니다.

승인
거부(거부권)
무시(동작 없음)

다음과 같은 경우 전자 메일 알림이 MAV 규칙과 연결된 모든 승인자에게 전송됩니다.

요청이 생성됩니다.
요청이 승인되거나 거부되었습니다.
승인된 요청이 실행됩니다.

요청자가 작업에 대해 동일한 승인 그룹에 있는 경우 요청이 승인되면 이메일을 받게 됩니다.

요청자는 승인 그룹에 있는 경우에도 자신의 요청을 승인할 수 없습니다. 이메일 알림을 받을 수 있습니다. 승인 그룹에 없는 요청자(즉, MAV 관리자가 아닌)는 이메일 알림을 받지 않습니다.

보호된 작업 실행의 작동 방식

보호된 작업에 대해 실행이 승인되면 요청 사용자는 메시지가 표시될 때 작업을 계속합니다. 작업이 거부되면 요청 사용자는 계속하기 전에 요청을 삭제해야 합니다.

MAV 규칙은 RBAC 권한 이후에 평가됩니다. 따라서 작업 실행에 대한 충분한 RBAC 권한이 없는 사용자는 MAV 요청 프로세스를 시작할 수 없습니다.