Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar elevação de privilégio JIT no ONTAP

Colaboradores netapp-bhouser netapp-aaron-holt
PDFs

A partir do ONTAP 9.17.1, os administradores de cluster podem configurar a elevação de privilégios just-in-time (JIT) para permitir que usuários do ONTAP elevem temporariamente seus privilégios para executar determinadas tarefas. Quando o JIT é configurado para um usuário, ele pode temporariamente "elevar seus privilégios" para uma função que tenha as permissões necessárias para executar uma tarefa. Após o término da sessão, o usuário retorna ao seu nível de acesso original.

Os administradores de cluster podem configurar a duração do acesso de um usuário à elevação JIT. Por exemplo, você pode configurar o acesso do usuário à elevação JIT com um limite de 30 minutos por sessão (o período de validade da sessão) por um período de 30 dias (o período de validade JIT). Durante o período de 30 dias, o usuário pode elevar seu privilégio quantas vezes forem necessárias, mas cada sessão é limitada a 30 minutos.

A elevação de privilégios JIT apoia o princípio do privilégio mínimo, permitindo que os usuários executem tarefas que exigem privilégios elevados sem conceder-lhes esses privilégios permanentemente. Isso ajuda a reduzir o risco de acesso não autorizado ou alterações acidentais no sistema. Os exemplos a seguir descrevem alguns casos de uso comuns para elevação de privilégios JIT:

  • Permitir acesso temporário ao security login create e security login delete comandos para habilitar a integração e a desintegração de usuários.

  • Permitir acesso temporário a system node image update e system node upgrade-revert durante uma janela de atualização. Após a conclusão da atualização, o acesso ao comando é revogado.

  • Permitir acesso temporário a cluster add-node , cluster remove-node , e cluster modify para permitir a expansão ou reconfiguração do cluster. Após a conclusão das alterações no cluster, o acesso ao comando será revogado.

  • Permitir acesso temporário a volume snapshot restore para habilitar operações de restauração e gerenciamento de destinos de backup. Após a conclusão da restauração ou configuração, o acesso ao comando é revogado.

  • Permitir acesso temporário a security audit log show para permitir a revisão e exportação do log de auditoria durante uma verificação de conformidade.

Para uma lista mais abrangente de casos de uso comuns do JIT, consulte Casos de uso comuns do JIT .

Os administradores de cluster podem configurar o acesso JIT para usuários do ONTAP e configurar os períodos de validade JIT padrão globalmente no cluster ou para SVMs específicas.

Sobre esta tarefa

  • A elevação de privilégios JIT está disponível apenas para usuários que acessam o ONTAP via SSH. Os privilégios elevados estão disponíveis apenas na sessão SSH atual do usuário, mas podem ser elevados em quantas sessões SSH simultâneas forem necessárias.

  • A elevação de privilégios JIT só é suportada por usuários que usam autenticação por senha, nsswitch ou domínio para efetuar login. A autenticação multifator (MFA) não é suportada para elevação de privilégios JIT.

Antes de começar

  • Você deve ser um administrador de cluster ONTAP no admin nível de privilégio para executar as seguintes tarefas.

Modificar configurações globais do JIT

Você pode modificar as configurações JIT padrão globalmente no cluster ONTAP ou para uma SVM específica. Essas configurações determinam o período de validade da sessão padrão e o período máximo de validade JIT para usuários configurados para acesso JIT.

Sobre esta tarefa

  • O padrão default-session-validity-period O valor é uma hora. Esta configuração determina por quanto tempo um usuário pode acessar privilégios elevados em uma sessão JIT antes de precisar elevá-los novamente.

  • O padrão max-jit-validity-period O valor é 90 dias. Esta configuração determina o período máximo durante o qual um usuário pode acessar a elevação JIT após a data de início configurada. Você pode configurar o período de validade do JIT para usuários individuais, mas ele não pode exceder o período máximo de validade do JIT.

Passos

  1. Verifique as configurações atuais do JIT:

    security jit-privilege show -vserver <svm_name>

    -vserver é opcional. Se você não especificar uma SVM, o comando mostrará as configurações globais do JIT.

  2. Modifique as configurações do JIT globalmente ou para um SVM:

    security jit-privilege modify -vserver <svm_name> -default-session-validity-period <period> -max-jit-validity-period <period>

    Se você não especificar um SVM, o comando modificará as configurações globais do JIT. O exemplo a seguir definirá a duração padrão da sessão JIT para 45 minutos e a duração máxima do JIT para 30 dias para SVM. svm1 :
    security jit-privilege modify -vserver svm1 -default-session-validity-period 45m -max-jit-validity-period 30d

    Neste exemplo, os usuários poderão acessar a elevação JIT por 45 minutos por vez e podem iniciar sessões JIT por no máximo 30 dias após a data de início configurada.

Configurar acesso de elevação de privilégio JIT para um usuário

Você pode atribuir acesso de elevação de privilégio JIT aos usuários ONTAP .

Passos

  1. Verifique o acesso JIT atual para um usuário:

    security jit-privilege user show -username <username>

    -username é opcional. Se você não especificar um nome de usuário, o comando mostrará o acesso JIT para todos os usuários.

  2. Atribuir novo acesso JIT para um usuário:

    security jit-privilege create -username <username> -vserver <svm_name> -role <rbac_role> -session-validity-period <period> -jit-validity-period <period> -start-time <date>

    • Se -vserver não for especificado, o acesso JIT será atribuído no nível do cluster.

    • -role é a função RBAC à qual o usuário será elevado. Se não for especificado, -role padrão para admin .

    • -session-validity-period é a duração pela qual o usuário pode acessar a função elevada antes de precisar iniciar uma nova sessão JIT. Se não for especificado, o valor global ou SVM default-session-validity-period é usado.

    • -jit-validity-period é a duração máxima para a qual um usuário pode iniciar sessões JIT após a data de início configurada. Se não for especificado, o session-validity-period é usado. Este parâmetro não pode exceder o global ou SVM max-jit-validity-period .

    • -start-time é a data e a hora após as quais o usuário pode iniciar sessões JIT. Se não especificado, a data e a hora atuais serão usadas.

      O exemplo a seguir permitirá ontap_user para acessar o admin função por 1 hora antes de precisar iniciar uma nova sessão JIT. ontap_user poderá iniciar sessões JIT por um período de 60 dias a partir das 13h do dia 1º de julho de 2025:
      security jit-privilege user create -username ontap_user -role admin -session-validity-period 1h -jit-validity-period 60d -start-time "7/1/25 13:00:00"

  3. Se necessário, revogue o acesso JIT de um usuário:

    security jit-privilege user delete -username <username> -vserver <svm_name>

    Este comando revogará o acesso JIT de um usuário, mesmo que ele não tenha expirado. Se -vserver Se ".jit" não for especificado, o acesso JIT será revogado no nível do cluster. Se o usuário estiver em uma sessão JIT ativa, a sessão será encerrada.

Casos de uso comuns do JIT

A tabela a seguir contém casos de uso comuns para elevação de privilégios JIT. Para cada caso de uso, uma função RBAC precisaria ser configurada para fornecer acesso aos comandos relevantes. Cada comando está vinculado à referência de comandos ONTAP , com mais informações sobre o comando e seus parâmetros.

Caso de uso Comandos Detalhes

Gerenciamento de usuários e funções

  • security login create

  • security login delete

Eleve temporariamente para adicionar/remover usuários ou alterar funções durante a integração ou desligamento.

Gestão de certificados

  • security certificate create

  • security certificate install

Conceda acesso de curto prazo para instalação ou renovação de certificado.

Controle de acesso SSH/CLI

  • security login create -application ssh

Conceda temporariamente acesso SSH para solução de problemas ou suporte ao fornecedor.

Gerenciamento de licenças

  • system license add

  • system license delete

Conceda direitos para adicionar ou remover licenças durante a ativação ou desativação de recursos.

Atualizações e patches do sistema

  • system node image update

  • system node upgrade-revert

Eleve para a janela de atualização e depois revogue.

Configurações de segurança de rede

  • security login role create

  • security login role modify

Permitir alterações temporárias em funções de segurança relacionadas à rede.

Gerenciamento de cluster

  • cluster add-node

  • cluster remove-node

  • cluster modify

Eleve para expansão ou reconfiguração do cluster.

Gestão de SVM

  • vserver create

  • vserver delete

  • vserver modify

Conceda temporariamente a um administrador do SVM direitos para provisionamento ou descomissionamento.

Gerenciamento de volume

  • volume create

  • volume delete

  • volume modify

Eleve para provisionamento, redimensionamento ou remoção de volume.

Gerenciamento de instantâneos

  • volume snapshot create

  • volume snapshot delete

  • volume snapshot restore

Eleve para exclusão ou restauração de instantâneos durante a recuperação.

Configuração de rede

  • network interface create

  • network port vlan create

Conceda direitos para alterações de rede durante janelas de manutenção.

Gerenciamento de disco/agregação

  • storage disk assign

  • storage aggregate create

  • storage aggregate add-disks

Eleve para adicionar ou remover discos ou gerenciar agregados.

Proteção de dados

  • snapmirror create

  • snapmirror modify

  • snapmirror restore

Eleve temporariamente para configurar ou restaurar relacionamentos do SnapMirror .

Ajuste de desempenho

  • qos policy-group create

  • qos policy-group modify

Eleve para solução de problemas de desempenho ou ajuste.

Acesso ao log de auditoria

  • security audit log show

Eleve temporariamente para revisão de log de auditoria ou exportação durante verificações de conformidade.

Gerenciamento de eventos e alertas

  • event notification create

  • event notification modify

Elevate para configurar ou testar notificações de eventos ou traps SNMP.

Acesso a dados orientado por conformidade

  • volume show

  • security audit log show

Conceda acesso temporário somente leitura para que auditores revisem dados ou registros confidenciais.

Avaliações de acesso privilegiado

  • security login show

  • security login role show

Eleve temporariamente para revisar e relatar acesso privilegiado. Conceda acesso elevado somente leitura por tempo limitado.
Informações relacionadas