Skip to main content
ONTAP tools for VMware vSphere 9.10
Uma versão mais recente deste produto está disponível.
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Permissões para sistemas de armazenamento ONTAP e objetos vSphere

Colaboradores

Os controles de acesso baseados em função (RBAC) do ONTAP permitem controlar o acesso a sistemas de storage específicos e controlar as ações que um usuário pode executar nesses sistemas de storage. Nas ferramentas do ONTAP vSphere, o ONTAP RBAC trabalha com o vCenter Server RBAC para determinar quais tarefas do console de armazenamento virtual (VSC) um usuário específico pode executar nos objetos em um sistema de storage específico.

O VSC usa as credenciais (nome de usuário e senha) que você configurou no VSC para autenticar cada sistema de armazenamento e determinar quais operações de armazenamento podem ser executadas nesse sistema de armazenamento. O VSC usa um conjunto de credenciais para cada sistema de storage. Essas credenciais determinam quais tarefas do VSC podem ser executadas nesse sistema de armazenamento; em outras palavras, as credenciais são para o VSC, não para um usuário VSC individual.

O RBAC do ONTAP se aplica apenas a sistemas de storage e a executar tarefas de VSC relacionadas ao storage, como provisionamento de máquinas virtuais. Se você não tiver o ONTAP RBAC Privileges apropriado para um sistema de storage específico, não poderá executar nenhuma tarefa em um objeto vSphere hospedado nesse sistema de storage. Você pode usar o ONTAP RBAC em conjunto com o Privileges específico do VSC para controlar quais tarefas do VSC um usuário pode executar:

  • Monitoramento e configuração de objetos de armazenamento ou do vCenter Server que residem em um sistema de armazenamento

  • Provisionamento de objetos vSphere que residem em um sistema de storage

O uso do RBAC do ONTAP com o Privileges específico do VSC fornece uma camada de segurança orientada ao storage que o administrador de storage pode gerenciar. Como resultado, você tem controle de acesso mais refinado do que o que o ONTAP RBAC sozinho ou o vCenter Server RBAC sozinho suporta. Por exemplo, com o vCenter Server RBAC, você pode permitir que o vCenterUserB provisione um datastore no armazenamento do NetApp enquanto impede que o vCenterUserA provisione datastores. Se as credenciais do sistema de armazenamento para um sistema de armazenamento específico não suportarem a criação de armazenamento, então nem o vCenterUserB nem o vCenterUserA poderão provisionar um armazenamento de dados nesse sistema de armazenamento.

Quando você inicia uma tarefa VSC, o VSC primeiro verifica se você tem a permissão correta do vCenter Server para essa tarefa. Se a permissão do vCenter Server não for suficiente para permitir que você execute a tarefa, o VSC não precisará verificar o ONTAP Privileges para esse sistema de armazenamento porque você não passou na verificação de segurança inicial do vCenter Server. Como resultado, você não pode acessar o sistema de armazenamento.

Se a permissão do vCenter Server for suficiente, o VSC verificará o ONTAP RBAC Privileges (sua função ONTAP) associado às credenciais do sistema de storage (nome de usuário e senha) para determinar se você tem Privileges suficientes para executar as operações de storage exigidas por essa tarefa no sistema de storage. Se tiver o ONTAP Privileges correto, pode aceder ao sistema de armazenamento e executar a tarefa VSC. As funções do ONTAP determinam as tarefas do VSC que você pode executar no sistema de storage.

Cada sistema de storage tem um conjunto de ONTAP Privileges associado.

O RBAC do ONTAP e o vCenter Server oferece os seguintes benefícios:

  • Segurança

    O administrador pode controlar quais usuários podem executar quais tarefas em um nível refinado de objeto do vCenter Server e em um nível de sistema de armazenamento.

  • Informações de auditoria

    Em muitos casos, o VSC fornece uma trilha de auditoria no sistema de armazenamento que permite rastrear eventos de volta para o usuário do vCenter Server que realizou as modificações de armazenamento.

  • Usabilidade

    Você pode manter todas as credenciais do controlador em um só lugar.

Funções recomendadas do ONTAP ao usar as ferramentas do ONTAP para VMware vSphere

Você pode configurar várias funções recomendadas do ONTAP para trabalhar com as ferramentas do ONTAP para VMware vSphere e controle de acesso baseado em funções (RBAC). Essas funções contêm o ONTAP Privileges necessário para executar as operações de storage necessárias executadas pelas tarefas do console de storage virtual (VSC).

Para criar novas funções de usuário, faça login como administrador em sistemas de storage que executam o ONTAP. Você pode criar funções do ONTAP usando uma das seguintes opções:

Cada função do ONTAP tem um nome de usuário e um par de senhas associados, que constituem as credenciais da função. Se você não fizer login usando essas credenciais, não poderá acessar as operações de storage associadas à função.

Como medida de segurança, as funções ONTAP específicas do VSC são ordenadas hierarquicamente. Isso significa que a primeira função é a função mais restritiva e tem apenas os Privileges associados ao conjunto mais básico de operações de storage VSC. A próxima função inclui o seu próprio Privileges e todos os Privileges associados à função anterior. Cada função adicional é menos restritiva em relação às operações de storage compatíveis.

Veja a seguir algumas das funções RBAC recomendadas do ONTAP ao usar o VSC. Depois de criar essas funções, você pode atribuir as funções aos usuários que precisam executar tarefas relacionadas ao storage, como o provisionamento de máquinas virtuais.

  1. Detecção

    Essa função permite adicionar sistemas de storage.

  2. Crie armazenamento

    Essa função permite que você crie armazenamento. Essa função também inclui todos os Privileges associados à função descoberta.

  3. Modificar armazenamento

    Essa função permite modificar o armazenamento. Essa função também inclui todos os Privileges associados à função descoberta e à função criar armazenamento.

  4. Destrua o armazenamento

    Esta função permite que você destrua o armazenamento. Essa função também inclui todos os Privileges associados à função descoberta, à função criar armazenamento e à função Modificar armazenamento.

Se você estiver usando o provedor VASA para ONTAP, você também deve configurar uma função de gerenciamento baseado em políticas (PBM). Essa função permite gerenciar o storage usando políticas de storage. Essa função requer que você também configure a função "descoberta".