ONTAP에서 보호된 작업에 대한 다중 관리자 인증 규칙을 관리합니다
MAV(Multi-admin verification) 규칙을 만들어 승인이 필요한 작업을 지정합니다. 작업이 시작될 때마다 보호된 작업이 차단되고 승인 요청이 생성됩니다.
적절한 RBAC 기능이 있는 관리자가 MAV를 활성화하기 전에 규칙을 만들 수 있지만, M5V가 활성화되면 규칙 집합을 수정하려면 MAV 승인이 필요합니다.
작업당 하나의 MAV 규칙만 만들 수 있습니다. 예를 들어 여러 개를 만들 수 없습니다 volume-snapshot-delete
규칙. 원하는 규칙 제약 조건은 하나의 규칙 내에 포함되어야 합니다.
보호할 규칙을 만들 수 있습니다 "알려 드립니다". 명령에 대한 보호 기능이 처음 제공되는 ONTAP 버전부터 각 명령을 보호할 수 있습니다.
MAV 시스템 기본 명령에 대한 규칙인 입니다 security multi-admin-verify
"명령"변경할 수 없습니다.
시스템에서 정의한 작업 외에도 다음 명령은 다중 관리자 검증이 활성화된 경우 기본적으로 보호되지만, 규칙을 수정하여 이러한 명령에 대한 보호를 제거할 수 있습니다.
규칙 제약 조건
규칙을 만들 때 필요한 경우 명령 기능의 하위 집합으로 요청을 제한하는 옵션을 지정할 수 -query
있습니다. 이 -query
옵션을 사용하여 SVM, 볼륨, 스냅샷 이름과 같은 구성 요소를 제한할 수도 있습니다.
예를 들어 volume snapshot delete
명령에서 를 -query
로 설정할 수 있습니다 -snapshot !hourly*,!daily*,!weekly*
. 즉, 매시간, 일별 또는 주별 속성으로 접두사가 지정된 볼륨 스냅샷이 MAV 보호에서 제외됩니다.
smci-vsim20::> security multi-admin-verify rule show Required Approval Vserver Operation Approvers Groups ------- -------------------------------------- --------- ------------- vs01 volume snapshot delete - - Query: -snapshot !hourly*,!daily*,!weekly*
|
제외된 구성 요소는 MAV로 보호되지 않으므로 관리자가 삭제하거나 이름을 바꿀 수 있습니다. |
기본적으로 규칙은 보호된 작업이 입력될 때 해당 명령이 자동으로 생성되도록 security multi-admin-verify request create "protected_operation"
지정합니다. 명령을 별도로 입력하도록 이 기본값을 수정할 수 request create
있습니다.
기본적으로 규칙별 예외를 지정할 수 있지만 규칙은 다음과 같은 전역 MAV 설정을 상속합니다.
-
필요한 승인자 수
-
승인 그룹
-
승인 만료 기간
-
실행 만료 기간
System Manager 절차
보호된 작업 규칙을 처음으로 추가하려면 에 System Manager 절차를 참조하십시오 "다중 관리 검증을 활성화합니다."
기존 규칙 집합을 수정하려면 다음을 수행합니다.
-
클러스터 > 설정 * 을 선택합니다.
-
보안 * 섹션에서 * 다중 관리자 승인 * 옆에 있는 을 선택합니다
.
-
규칙을 하나 이상 추가하려면 선택합니다
. 기존 규칙을 수정하거나 삭제할 수도 있습니다.
-
작업 - 목록에서 지원되는 명령을 선택합니다.
-
쿼리 - 원하는 명령 옵션 및 값을 입력합니다.
-
선택적 매개 변수 – 글로벌 설정을 적용하려면 비워 두거나 글로벌 설정을 재정의하기 위해 특정 규칙에 다른 값을 할당합니다.
-
승인자 수가 필요합니다
-
승인 그룹
-
-
CLI 절차
|
모든 '보안 멀티 관리-검증 규칙' 명령은 '보안 멀티-관리-검증 규칙 표시'를 제외하고 실행 전에 MAV 관리자의 승인이 필요합니다. |
원하는 사항 | 이 명령을 입력합니다 |
---|---|
규칙을 만듭니다 |
|
현재 관리자의 자격 증명을 수정합니다 |
|
규칙을 수정합니다 |
|
규칙을 삭제합니다 |
|
규칙 표시 |
'보안 멀티-관리-검증 규칙 표시' |