Tipos de RBAC
Sugerir alterações
PDFs
As permissões de controle de acesso baseado em função (RBAC) e ONTAP do SnapCenter permitem que os administradores do SnapCenter delegem o controle de recursos do SnapCenter a diferentes usuários ou grupos de usuários. Esse acesso gerenciado centralmente capacita os administradores de aplicativos a trabalhar com segurança em ambientes delegados.
Você pode criar e modificar funções e adicionar acesso a recursos aos usuários a qualquer momento, mas quando você estiver configurando o SnapCenter pela primeira vez, você deve pelo menos adicionar usuários ou grupo do ative Directory a funções e, em seguida, adicionar acesso a recursos a esses usuários ou grupos.
|
Você não pode usar o SnapCenter para criar contas de usuário ou grupo. Você deve criar contas de usuário ou grupo no ative Directory do sistema operacional ou banco de dados. |
O SnapCenter usa os seguintes tipos de controle de acesso baseado em função:
-
SnapCenter RBAC
-
Plug-in RBAC do SnapCenter (para alguns plug-ins)
-
RBAC no nível da aplicação
-
Permissões da ONTAP
SnapCenter RBAC
Funções e permissões
O SnapCenter é fornecido com funções predefinidas com permissões já atribuídas. Você pode atribuir usuários ou grupos de usuários a essas funções. Você também pode criar novas funções e gerenciar permissões e usuários.
Atribuindo permissões a usuários ou grupos
Você pode atribuir permissões a usuários ou grupos para acessar objetos do SnapCenter, como hosts, conexões de storage e grupos de recursos. Não é possível alterar as permissões da função SnapCenterAdmin.
É possível atribuir permissões RBAC a usuários e grupos dentro da mesma floresta e a usuários pertencentes a diferentes florestas. Não é possível atribuir permissões RBAC a usuários pertencentes a grupos aninhados entre florestas.
|
|
Se você criar uma função personalizada, ela deverá conter todas as permissões da função de administrador do SnapCenter. Se você copiar apenas algumas das permissões, por exemplo, Host add ou Host remove, não será possível executar essas operações. |
Autenticação
Os usuários são obrigados a fornecer autenticação durante o login, por meio da interface gráfica do usuário (GUI) ou usando cmdlets do PowerShell. Se os usuários forem membros de mais de uma função, depois de inserir credenciais de login, eles serão solicitados a especificar a função que desejam usar. Os usuários também são obrigados a fornecer autenticação para executar as APIs.
RBAC no nível da aplicação
O SnapCenter usa credenciais para verificar se os usuários autorizados do SnapCenter também têm permissões no nível do aplicativo.
Por exemplo, se você deseja executar operações de cópia Snapshot e proteção de dados em um ambiente SQL Server, você deve definir credenciais com as credenciais Windows ou SQL adequadas. O servidor SnapCenter autentica o conjunto de credenciais usando qualquer um dos métodos. Se você quiser executar operações de proteção de dados e cópia Snapshot em um ambiente de sistema de arquivos do Windows no storage ONTAP, a função de administração do SnapCenter deve ter admin Privileges no host do Windows.
Da mesma forma, se você deseja executar operações de proteção de dados em um banco de dados Oracle e se a autenticação do sistema operacional (os) estiver desativada no host do banco de dados, você deve definir credenciais com o banco de dados Oracle ou as credenciais Oracle ASM. O servidor SnapCenter autentica as credenciais definidas usando um desses métodos, dependendo da operação.
Plug-in do SnapCenter para VMware vSphere RBAC
Se você estiver usando o plug-in SnapCenter VMware para proteção de dados consistente com VM, o vCenter Server fornecerá um nível adicional de RBAC. O plug-in SnapCenter VMware é compatível com o vCenter Server RBAC e o Data ONTAP RBAC.
Para obter informações, consulte "Plug-in do SnapCenter para VMware vSphere RBAC"
Permissões da ONTAP
Você deve criar uma conta vsadmin com as permissões necessárias para acessar o sistema de armazenamento.
Para obter informações sobre como criar a conta e atribuir permissões, consulte "Crie uma função de cluster do ONTAP com Privileges mínimo"