Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

보호된 작업 규칙을 관리합니다

기여자
PDF

MAV(Multi-admin verification) 규칙을 만들어 승인이 필요한 작업을 지정합니다. 작업이 시작될 때마다 보호된 작업이 차단되고 승인 요청이 생성됩니다.

적절한 RBAC 기능이 있는 관리자가 MAV를 활성화하기 전에 규칙을 만들 수 있지만, M5V가 활성화되면 규칙 집합을 수정하려면 MAV 승인이 필요합니다.

작업당 하나의 MAV 규칙만 만들 수 있습니다. 예를 들어 여러 개를 만들 수 없습니다 volume-snapshot-delete 규칙. 원하는 규칙 제약 조건은 하나의 규칙 내에 포함되어야 합니다.

보호할 규칙을 만들 수 있습니다 "알려 드립니다". 명령에 대한 보호 기능이 처음 제공되는 ONTAP 버전부터 각 명령을 보호할 수 있습니다.

MAV 시스템 기본 명령에 대한 규칙인 입니다 security multi-admin-verify "명령"변경할 수 없습니다.

시스템 정의 작업 외에도 다중 관리자 확인이 사용될 경우 다음 명령은 기본적으로 보호되지만, 이러한 명령에 대한 보호를 제거하도록 규칙을 수정할 수 있습니다.

  • '보안 로그인 비밀번호

  • 보안 로그인 잠금 해제

  • '세트'

규칙 제약 조건

규칙을 만들 때 선택적으로 을 지정할 수 있습니다 -query 명령 기능의 하위 집합으로 요청을 제한하는 옵션입니다. 를 클릭합니다 -query 옵션을 사용하여 SVM, 볼륨, 스냅샷 이름과 같은 구성 요소를 제한할 수도 있습니다.

예를 들어 의 을 참조하십시오 volume snapshot delete 명령, -query 로 설정할 수 있습니다 `-snapshot !hourly*,!daily*,!weekly*`즉, 매시간, 일별 또는 주별 속성으로 접두사가 지정된 볼륨 스냅샷이 MAV 보호에서 제외됩니다.

smci-vsim20::> security multi-admin-verify rule show
                                               Required  Approval
Vserver Operation                              Approvers Groups
------- -------------------------------------- --------- -------------
vs01    volume snapshot delete                 -         -
          Query: -snapshot !hourly*,!daily*,!weekly*
참고 제외된 구성 요소는 MAV로 보호되지 않으므로 관리자가 삭제하거나 이름을 바꿀 수 있습니다.

기본적으로 규칙은 해당 을 지정합니다 security multi-admin-verify request create “protected_operation” 보호된 작업이 입력되면 명령이 자동으로 생성됩니다. 이 기본값을 수정하여 을 요구할 수 있습니다 request create 명령을 별도로 입력합니다.

기본적으로 규칙별 예외를 지정할 수 있지만 규칙은 다음과 같은 전역 MAV 설정을 상속합니다.

  • 필요한 승인자 수

  • 승인 그룹

  • 승인 만료 기간

  • 실행 만료 기간

System Manager 절차

보호된 작업 규칙을 처음으로 추가하려면 에 System Manager 절차를 참조하십시오 "다중 관리 검증을 활성화합니다."

기존 규칙 집합을 수정하려면 다음을 수행합니다.

  1. 클러스터 > 설정 * 을 선택합니다.

  2. 를 선택합니다 기어 아이콘 보안 * 섹션의 * 다중 관리자 승인 * 옆에 있습니다.

  3. 를 선택합니다 추가 아이콘 규칙을 하나 이상 추가하려면 기존 규칙을 수정하거나 삭제할 수도 있습니다.

    • 작업 - 목록에서 지원되는 명령을 선택합니다.

    • 쿼리 - 원하는 명령 옵션 및 값을 입력합니다.

    • 선택적 매개 변수 – 글로벌 설정을 적용하려면 비워 두거나 글로벌 설정을 재정의하기 위해 특정 규칙에 다른 값을 할당합니다.

      • 승인자 수가 필요합니다

      • 승인 그룹

CLI 절차

참고 모든 '보안 멀티 관리-검증 규칙' 명령은 '보안 멀티-관리-검증 규칙 표시'를 제외하고 실행 전에 MAV 관리자의 승인이 필요합니다.
원하는 사항 이 명령을 입력합니다

규칙을 만듭니다

'Security multi-admin-verify rule create-operation_"protected_operation"[-query_operation_subset][parameters]'

현재 관리자의 자격 증명을 수정합니다

security login modify <parameters>

  • 예 *: 다음 규칙에 따라 루트 볼륨을 삭제해야 합니다.

security multi-admin-verify rule create -operation "volume delete" -query "-vserver vs0"

규칙을 수정합니다

'Security multi-admin-verify rule modify -operation_“protected_operation”[_parameters]'

규칙을 삭제합니다

'Security multi-admin - verify rule delete - operation_“protected_operation” _'

규칙 표시

'보안 멀티-관리-검증 규칙 표시'

명령 구문에 대한 자세한 내용은 보안 다중 관리 확인 규칙 man 페이지를 참조하십시오.