Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

다중 관리 검증 개요

기여자
PDF

ONTAP 9.11.1부터 MAV(Multi-admin verification)를 사용하여 볼륨 삭제 또는 스냅샷 복사본 삭제와 같은 특정 작업이 지정된 관리자의 승인 후에만 실행될 수 있는지 확인할 수 있습니다. 따라서 손상되거나 악의적이거나 경험이 부족한 관리자가 원치 않는 변경 또는 데이터 삭제를 방지할 수 있습니다.

다중 관리자 검증 구성은 다음과 같이 구성됩니다.

초기 구성 후에는 MAV 승인 그룹(MAV 관리자)의 관리자만 이러한 요소를 수정할 수 있습니다.

다중 관리 검증이 활성화된 경우 모든 보호 작업을 완료하려면 다음 3단계를 수행해야 합니다.

멀티 관리 검증은 작업이 완료되기 전에 각 자동화 작업이 승인을 받아야 하기 때문에 대량 자동화가 필요한 볼륨 또는 워크플로우에서 사용할 수 없습니다. 자동화 및 MAV를 함께 사용하려면 특정 MAV 작업에 대한 쿼리를 사용하는 것이 좋습니다. 예를 들어, 자동화가 포함되지 않은 볼륨에만 볼륨 삭제 MAV 규칙을 적용하고 특정 명명 체계를 사용하여 해당 볼륨을 지정할 수 있습니다.

참고 MAV 관리자의 승인 없이 다중 관리 검증 기능을 사용하지 않도록 설정해야 하는 경우 NetApp Support에 다음 기술 자료 문서를 멘션하십시오. "MAV 관리자를 사용할 수 없는 경우 다중 관리 확인을 비활성화하는 방법".

다중 관리 확인 작동 방식

다중 관리 검증의 구성:

  • 승인 및 거부권을 가진 하나 이상의 관리자 그룹.

  • _rules table_의 보호된 작업 또는 명령 집합.

  • 보호된 작업의 실행을 식별하고 제어하기 위한 _ 규칙 엔진 _.

역할 기반 액세스 제어(RBAC) 규칙 이후에 MAV 규칙을 평가합니다. 따라서 보호된 작업을 실행하거나 승인하는 관리자는 해당 작업에 대한 최소 RBAC 권한을 이미 가지고 있어야 합니다. "RBAC에 대해 자세히 알아보십시오."

시스템 정의 규칙

다중 관리 검증이 활성화된 경우 시스템 정의 규칙(_guard-rail_rules라고도 함)은 MAV 프로세스 자체를 회피하는 위험을 포함할 수 있는 일련의 MAV 작업을 설정합니다. 이러한 작업은 규칙 테이블에서 제거할 수 없습니다. MAV가 활성화되면 별표(*)로 지정된 작업은 실행 전에 하나 이상의 관리자가 승인해야 합니다. 단, * show * 명령은 예외입니다.

  • security multi-admin-verify modify 작동 *

    다중 관리 검증 기능의 구성을 제어합니다.

  • '보안 멀티 관리 - 승인그룹' 운영 여부 확인

    여러 관리자 확인 자격 증명을 사용하여 관리자 집합에서 구성원 자격을 제어합니다.

  • '보안 멀티-관리-검증 규칙' 운영 *

    admin이 여러 개인 검증이 필요한 명령 세트 제어

  • '보안 멀티-관리-검증 요청' 작업

    승인 프로세스를 제어합니다.

규칙으로 보호된 명령

시스템 정의 명령 외에도 멀티 관리 검증이 활성화된 경우 다음 명령은 기본적으로 보호되지만, 규칙을 수정하여 이러한 명령에 대한 보호를 제거할 수 있습니다.

  • '보안 로그인 비밀번호

  • 보안 로그인 잠금 해제

  • '세트'

다음 명령은 ONTAP 9.11.1 이상 릴리스에서 보호할 수 있습니다.

'클러스터 피어 삭제'

이벤트 구성 수정

'보안 로그인 생성'

'보안 로그인 삭제

보안 로그인 수정

'시스템 노드 실행

'시스템 노드 시스템 쉘'

'볼륨 삭제'

볼륨 FlexCache 삭제

'볼륨 스냅샷 자동 삭제 수정'

'볼륨 스냅샷 삭제'

볼륨 스냅샷 정책 추가 스케줄

볼륨 스냅샷 정책 생성

볼륨 스냅샷 정책 삭제

볼륨 스냅샷 정책 수정

볼륨 스냅샷 정책 수정 스케줄

볼륨 스냅샷 정책 제거 스케줄

'볼륨 스냅샷 복원'

'vserver peer delete

ONTAP 9.13.1부터 다음 명령을 보호할 수 있습니다.

  • volume snaplock modify

  • security anti-ransomware volume attack clear-suspect

  • security anti-ransomware volume disable

  • security anti-ransomware volume pause

ONTAP 9.14.1부터 다음 명령을 보호할 수 있습니다.

  • volume recovery-queue modify

  • volume recovery-queue purge

  • volume recovery-queue purge-all

  • vserver modify

여러 관리자의 승인 방식

보호된 작업이 MAV 보호 클러스터에 입력될 때마다 작업 실행 요청이 지정된 MAV 관리자 그룹으로 전송됩니다.

다음을 구성할 수 있습니다.

  • MAV 그룹의 이름, 연락처 정보 및 관리자 수

    MAV 관리자는 클러스터 관리자 권한이 있는 RBAC 역할을 가지고 있어야 합니다.

  • MAV 관리자 그룹 수

    • 각 보호된 작업 규칙에 대해 MAV 그룹이 할당됩니다.

    • 여러 MAV 그룹의 경우 지정된 규칙을 승인하는 MAV 그룹을 구성할 수 있습니다.

  • 보호된 작업을 실행하는 데 필요한 MAV 승인 수입니다.

  • MAV 관리자가 승인 요청에 응답해야 하는 _ 승인 만료 _ 기간.

  • 요청 관리자가 작업을 완료해야 하는 _ 실행 expiry_period입니다.

이러한 매개 변수가 구성되면 이를 수정하려면 MAV 승인이 필요합니다.

MAV 관리자는 보호된 작업을 실행하기 위한 자체 요청을 승인할 수 없습니다. 즉,

  • 관리자가 한 명 있는 클러스터에서는 MAV를 사용하지 않아야 합니다.

  • MAV 그룹에 한 사람만 있는 경우 해당 MAV 관리자는 보호된 작업을 입력할 수 없습니다. 일반 관리자는 해당 작업을 입력해야 하며 MAV 관리자는 승인만 할 수 있습니다.

  • MAV 관리자가 보호된 작업을 실행할 수 있도록 하려면 MAV 관리자 수가 필요한 승인 수보다 1개 이상 커야 합니다. 예를 들어 보호된 작업에 대해 두 번의 승인이 필요하고 MAV 관리자가 이를 실행하도록 하려면 MAV administrators 그룹에 세 명의 사용자가 있어야 합니다.

MAV 관리자는 전자 메일 알림(EMS 사용)으로 승인 요청을 받거나 요청 대기열을 쿼리할 수 있습니다. 요청을 받으면 다음 세 가지 작업 중 하나를 수행할 수 있습니다.

  • 승인

  • 거부(거부권)

  • 무시(동작 없음)

다음과 같은 경우 전자 메일 알림이 MAV 규칙과 연결된 모든 승인자에게 전송됩니다.

  • 요청이 생성됩니다.

  • 요청이 승인되거나 거부되었습니다.

  • 승인된 요청이 실행됩니다.

요청자가 작업에 대해 동일한 승인 그룹에 있는 경우 요청이 승인되면 이메일을 받게 됩니다.

  • 참고:* 요청자는 승인 그룹에 있더라도 자신의 요청을 승인할 수 없습니다. 하지만 이메일 알림을 받을 수 있습니다. 승인 그룹에 없는 요청자(즉, MAV 관리자가 아닌)는 이메일 알림을 받지 않습니다.

보호된 작업 실행의 작동 방식

보호된 작업에 대해 실행이 승인되면 요청 사용자는 메시지가 표시될 때 작업을 계속합니다. 작업이 거부되면 요청 사용자는 계속하기 전에 요청을 삭제해야 합니다.

MAV 규칙은 RBAC 권한 이후에 평가됩니다. 따라서 작업 실행에 대한 충분한 RBAC 권한이 없는 사용자는 MAV 요청 프로세스를 시작할 수 없습니다.