Controles de acesso baseados em função com análise do sistema de arquivos do ONTAP
Sugerir alterações
PDFs
A partir do ONTAP 9.12.1, o ONTAP inclui uma função pré-definida de controle de acesso baseado em função (RBAC) chamada admin-no-fsa. A admin-no-fsa função concede Privileges de nível de administrador, mas impede que o usuário execute operações relacionadas ao files endpoint (ou seja, análise do sistema de arquivos) na CLI do ONTAP, API REST e no Gerenciador de sistema.
Para obter mais informações sobre a admin-no-fsa função, Funções predefinidas para administradores de clusterconsulte .
Se você estiver usando uma versão do ONTAP lançada antes do ONTAP 9.12,1, será necessário criar uma função dedicada para controlar o acesso à análise do sistema de arquivos. Nas versões do ONTAP anteriores ao ONTAP 9.12,1, é necessário configurar permissões RBAC por meio da CLI do ONTAP ou da API REST do ONTAP.
A partir do ONTAP 9.12.1, você pode configurar permissões RBAC para análise do sistema de arquivos usando o Gerenciador de sistema.
-
Selecione Cluster > Settings. Em Segurança, navegue até usuários e funções e
selecione . -
Em funções,
selecione . -
Forneça um nome para a função. Em atributos de função, configure o acesso ou as restrições para a função de usuário fornecendo o "Pontos de extremidade API"apropriado . Consulte a tabela abaixo para ver os caminhos primários e os caminhos secundários para configurar as restrições ou o acesso ao File System Analytics.
Restrição Caminho primário Caminho secundário Monitorização de atividade em volumes
/api/storage/volumes-
/:uuid/top-metrics/directories -
/:uuid/top-metrics/files -
/:uuid/top-metrics/clients -
/:uuid/top-metrics/users
Monitorização de atividades em SVMs
/api/svm/svms-
/:uuid/top-metrics/directories -
/:uuid/top-metrics/files -
/:uuid/top-metrics/clients -
/:uuid/top-metrics/users
Todas as operações de análise do sistema de arquivos
/api/storage/volumes/:uuid/filesVocê pode usar
/*/em vez de um UUID para definir a política para todos os volumes ou SVMs no endpoint.Escolha o Access Privileges para cada endpoint.
-
-
Selecione Guardar.
-
Para atribuir a função a um utilizador ou utilizadores, Controle o acesso do administradorconsulte .
Se você estiver usando uma versão do ONTAP lançada antes do ONTAP 9.12,1, use a CLI do ONTAP para criar uma função personalizada.
-
Crie uma função padrão para ter acesso a todos os recursos.
Isso precisa ser feito antes de criar a função restritiva para garantir que a função seja apenas restritiva no acompanhamento de atividades:
security login role create -cmddirname DEFAULT -access all -role storageAdmin -
Crie a função restritiva:
security login role create -cmddirname "volume file show-disk-usage" -access none -role storageAdmin -
Autorize funções para acessar os serviços da Web do SVM:
-
restPara chamadas de API REST -
securitypara proteção por senha -
sysmgrPara acesso ao System Managervserver services web access create -vserver <svm-name> -name rest -role storageAdminvserver services web access create -vserver <svm-name> -name security -role storageAdmin
vserver services web access create -vserver <svm-name> -name sysmgr -role storageAdmin -
-
Crie um usuário.
Você deve emitir um comando criar distinto para cada aplicativo que deseja aplicar ao usuário. Chamadas criar várias vezes no mesmo usuário simplesmente aplica todos os aplicativos a esse usuário e não cria um novo usuário a cada vez. O
httpparâmetro para o tipo de aplicativo se aplica à API REST do ONTAP e ao Gerenciador de sistema.security login create -user-or-group-name storageUser -authentication-method password -application http -role storageAdmin -
Com as novas credenciais de usuário, agora você pode fazer login no Gerenciador de sistemas ou usar a API REST do ONTAP para acessar os dados de análise de sistemas de arquivos.