Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Gerenciar regras de operação protegidas

Colaboradores

Você cria regras de verificação multi-admin (MAV) para designar operações que exigem aprovação. Sempre que uma operação é iniciada, operações protegidas são intercetadas e uma solicitação de aprovação é gerada.

As regras podem ser criadas antes de ativar o MAV por qualquer administrador com recursos RBAC apropriados, mas uma vez que o MAV está habilitado, qualquer modificação no conjunto de regras requer aprovação MAV.

Apenas uma regra MAV pode ser criada por operação; por exemplo, você não pode fazer várias volume-snapshot-delete regras. Quaisquer restrições de regra desejadas devem estar contidas em uma regra.

Você pode criar regras para proteger "estes comandos". Você pode proteger cada comando começando com a versão ONTAP na qual a capacidade de proteção para o comando ficou disponível pela primeira vez.

As regras para os comandos padrão do sistema MAV, o security multi-admin-verify "comandos", não podem ser alteradas.

Além das operações definidas pelo sistema, os seguintes comandos são protegidos por padrão quando a verificação multi-admin está ativada, mas você pode modificar as regras para remover a proteção desses comandos.

  • security login password

  • security login unlock

  • set

Restrições de regra

Ao criar uma regra, você pode especificar opcionalmente a -query opção para limitar a solicitação a um subconjunto da funcionalidade de comando. A -query opção também pode ser usada para limitar elementos de configuração, como SVM, volume e nomes de Snapshot.

Por exemplo, no volume snapshot delete comando, -query pode ser definido como -snapshot !hourly*,!daily*,!weekly*, o que significa que instantâneos de volume pré-fixados com atributos de hora em hora, dia ou semanal são excluídos das proteções MAV.

smci-vsim20::> security multi-admin-verify rule show
                                               Required  Approval
Vserver Operation                              Approvers Groups
------- -------------------------------------- --------- -------------
vs01    volume snapshot delete                 -         -
          Query: -snapshot !hourly*,!daily*,!weekly*
Observação Quaisquer elementos de configuração excluídos não seriam protegidos pelo MAV, e qualquer administrador poderia excluí-los ou renomeá-los.

Por padrão, as regras especificam que um comando correspondente security multi-admin-verify request create “protected_operation” é gerado automaticamente quando uma operação protegida é inserida. Você pode modificar esse padrão para exigir que o request create comando seja inserido separadamente.

Por padrão, as regras herdam as seguintes configurações globais de MAV, embora você possa especificar exceções específicas de regras:

  • Número necessário de Aprovadores

  • Grupos de aprovação

  • Período de validade da aprovação

  • Período de expiração da execução

Procedimento do System Manager

Se pretender adicionar uma regra de operação protegida pela primeira vez, consulte o procedimento do Gestor de sistema a. "ative a verificação de vários administradores."

Para modificar o conjunto de regras existente:

  1. Selecione Cluster > Settings.

  2. Selecione Ícone ações ao lado de aprovação Multi-Admin na seção Segurança.

  3. Adicionar íconeSelecione para adicionar pelo menos uma regra; você também pode modificar ou excluir regras existentes.

    • Operação – Selecione um comando suportado na lista.

    • Consulta – Insira quaisquer opções e valores de comando desejados.

    • Parâmetros opcionais – deixe em branco para aplicar configurações globais ou atribua um valor diferente para regras específicas para substituir as configurações globais.

      • Número necessário de aprovadores

      • Grupos de aprovação

Procedimento CLI

Observação Todos security multi-admin-verify rule os comandos requerem aprovação do administrador MAV antes da execução, exceto security multi-admin-verify rule show.
Se você quiser…​ Introduza este comando

Crie uma regra

security multi-admin-verify rule create -operation “protected_operation” [-query operation_subset] [parameters]

Modifique as credenciais dos administradores atuais

security login modify <parameters>

Exemplo: A regra a seguir requer aprovação para excluir o volume raiz.

security multi-admin-verify rule create -operation "volume delete" -query "-vserver vs0"

Modificar uma regra

security multi-admin-verify rule modify -operation “protected_operation” [parameters]

Excluir uma regra

security multi-admin-verify rule delete -operation “protected_operation”

Mostrar regras

security multi-admin-verify rule show

Para obter detalhes da sintaxe do comando, consulte as security multi-admin-verify rule páginas man.