Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Controles de acesso baseados em função com File System Analytics

Colaboradores

A partir do ONTAP 9.12,1, o ONTAP inclui uma função pré-definida de controle de acesso baseado em função (RBAC) admin-no-fsa chamada . A admin-no-fsa função concede Privileges de nível de administrador, mas impede que o usuário execute operações relacionadas ao files endpoint (ou seja, análise do sistema de arquivos) na CLI do ONTAP, API REST e no Gerenciador de sistema.

Para obter mais informações sobre a admin-no-fsa função, Funções predefinidas para administradores de clusterconsulte .

Se você estiver usando uma versão do ONTAP lançada antes do ONTAP 9.12,1, será necessário criar uma função dedicada para controlar o acesso à análise do sistema de arquivos. Nas versões do ONTAP anteriores ao ONTAP 9.12,1, é necessário configurar permissões RBAC por meio da CLI do ONTAP ou da API REST do ONTAP.

System Manager

A partir do ONTAP 9.12,1, você pode configurar permissões RBAC para análise do sistema de arquivos usando o Gerenciador de sistema.

Passos
  1. Selecione Cluster > Settings. Em Segurança, navegue até usuários e funções e Ícone de setaselecione .

  2. Em funções, Adicionar íconeselecione .

  3. Forneça um nome para a função. Em atributos de função, configure o acesso ou as restrições para a função de usuário fornecendo o "Pontos de extremidade API"apropriado . Consulte a tabela abaixo para ver os caminhos primários e os caminhos secundários para configurar as restrições ou o acesso ao File System Analytics.

    Restrição Caminho primário Caminho secundário

    Monitorização de atividade em volumes

    /api/storage/volumes

    • /:uuid/top-metrics/directories

    • /:uuid/top-metrics/files

    • /:uuid/top-metrics/clients

    • /:uuid/top-metrics/users

    Monitorização de atividades em SVMs

    /api/svm/svms

    • /:uuid/top-metrics/directories

    • /:uuid/top-metrics/files

    • /:uuid/top-metrics/clients

    • /:uuid/top-metrics/users

    Todas as operações de análise do sistema de arquivos

    /api/storage/volumes

    /:uuid/files

    Você pode usar /*/ em vez de um UUID para definir a política para todos os volumes ou SVMs no endpoint.

    Escolha o Access Privileges para cada endpoint.

  4. Selecione Guardar.

  5. Para atribuir a função a um utilizador ou utilizadores, Controle o acesso do administradorconsulte .

CLI

Se você estiver usando uma versão do ONTAP lançada antes do ONTAP 9.12,1, use a CLI do ONTAP para criar uma função personalizada.

Passos
  1. Crie uma função padrão para ter acesso a todos os recursos.

    Isso precisa ser feito antes de criar a função restritiva para garantir que a função seja apenas restritiva no acompanhamento de atividades:

    security login role create -cmddirname DEFAULT -access all -role storageAdmin

  2. Crie a função restritiva:

    security login role create -cmddirname "volume file show-disk-usage" -access none -role storageAdmin

  3. Autorize funções para acessar os serviços da Web do SVM:

    • rest Para chamadas de API REST

    • security para proteção por senha

    • sysmgr Para acesso ao System Manager

      vserver services web access create -vserver svm-name -name_ -name rest -role storageAdmin

      vserver services web access create -vserver svm-name -name security -role storageAdmin

    vserver services web access create -vserver svm-name -name sysmgr -role storageAdmin

  4. Crie um usuário.

    Você deve emitir um comando criar distinto para cada aplicativo que deseja aplicar ao usuário. Chamadas criar várias vezes no mesmo usuário simplesmente aplica todos os aplicativos a esse usuário e não cria um novo usuário a cada vez. O http parâmetro para o tipo de aplicativo se aplica à API REST do ONTAP e ao Gerenciador de sistema.

    security login create -user-or-group-name storageUser -authentication-method password -application http -role storageAdmin

  5. Com as novas credenciais de usuário, agora você pode fazer login no Gerenciador de sistemas ou usar a API REST do ONTAP para acessar os dados de análise de sistemas de arquivos.