Controles de acesso baseados em função no SnapCenter
Sugerir alterações
PDFs
O controle de acesso baseado em função (RBAC) do SnapCenter e as permissões ONTAP permitem que os administradores do SnapCenter atribuam acesso a recursos a usuários ou grupos. Esse acesso gerenciado centralmente permite que os administradores de aplicativos trabalhem com segurança em ambientes designados.
Você deve criar ou modificar funções e adicionar acesso a recursos aos usuários. Ao configurar o SnapCenter pela primeira vez, adicione usuários ou grupos do Active Directory às funções e atribua recursos a esses usuários ou grupos.
|
O SnapCenter não cria contas de usuários ou grupos. Crie contas de usuário ou grupo no Active Directory do sistema operacional ou no banco de dados. |
Tipos de RBAC no SnapCenter
O SnapCenter oferece suporte aos seguintes tipos de controle de acesso baseado em função:
-
SnapCenter RBAC
-
RBAC no nível da aplicação
-
Plug-in do SnapCenter para VMware vSphere RBAC
-
Permissões da ONTAP
SnapCenter RBAC
O SnapCenter tem funções predefinidas e você pode atribuir usuários ou grupos a essas funções.
-
Função de administrador do SnapCenter
-
Função de Administrador de cópia de Segurança e Clonagem de aplicações
-
Função Visualizador de cópia de Segurança e Clonagem
-
Função de administrador de infraestrutura
Quando você atribui uma função a um usuário, o SnapCenter exibe os trabalhos relevantes para esse usuário na página Trabalhos, a menos que o usuário tenha a função SnapCenterAdmin.
Você também pode criar novas funções e gerenciar permissões e usuários. Você pode atribuir permissões a usuários ou grupos para acessar objetos do SnapCenter, como hosts, conexões de storage e grupos de recursos.
É possível atribuir permissões RBAC a usuários e grupos dentro da mesma floresta e a usuários pertencentes a diferentes florestas. Não é possível atribuir permissões RBAC a usuários pertencentes a grupos aninhados entre florestas.
|
|
Ao criar uma função personalizada, certifique-se de que ela inclua todas as permissões da função SnapCenterAdmin. Se você copiar apenas algumas permissões, o SnapCenter impedirá que você execute todas as operações. |
Os usuários devem se autenticar ao efetuar login por meio da interface do usuário ou dos cmdlets do PowerShell. Se os usuários tiverem várias funções, eles selecionarão uma função após efetuar login. A autenticação também é necessária para executar APIs.
RBAC no nível da aplicação
O SnapCenter usa credenciais para verificar se os usuários autorizados do SnapCenter também têm permissões no nível do aplicativo.
Por exemplo, para executar operações de proteção de dados em um ambiente SQL Server, defina as credenciais corretas do Windows ou SQL. Se você quiser executar operações de proteção de dados em um ambiente de sistema de arquivos do Windows no armazenamento ONTAP , a função de administrador do SnapCenter deverá ter privilégios de administrador no host do Windows.
Da mesma forma, se você quiser executar operações de proteção de dados em um banco de dados Oracle e se a autenticação do sistema operacional (SO) estiver desabilitada no host do banco de dados, você deverá definir credenciais com as credenciais do banco de dados Oracle ou do Oracle ASM. O SnapCenter Server autentica o conjunto de credenciais usando um destes métodos, dependendo da operação.
Plug-in do SnapCenter para VMware vSphere RBAC
Se você estiver usando o plug-in SnapCenter VMware para proteção de dados consistente com VM, o vCenter Server fornecerá um nível adicional de RBAC. O plug-in SnapCenter VMware é compatível com o vCenter Server RBAC e o ONTAP RBAC. "Saiba mais"
OBSERVAÇÃO: a NetApp recomenda que você crie uma função ONTAP para as operações do SnapCenter Plug-in for VMware vSphere e atribua a ela todos os privilégios necessários.
Permissões da ONTAP
Você deve criar uma conta vsadmin com as permissões necessárias para acessar o sistema de armazenamento."Saiba mais"
Permissões atribuídas às funções SnapCenter predefinidas
Ao adicionar um usuário a uma função, atribua a permissão StorageConnection para habilitar a comunicação da máquina virtual de armazenamento (SVM) ou atribua uma SVM ao usuário para conceder permissão para usar a SVM. A permissão Conexão de armazenamento permite que os usuários criem conexões SVM.
Por exemplo, um administrador do SnapCenter pode criar conexões SVM e atribuí-las a usuários de backup de aplicativo e administrador de clone, que não podem criar ou editar conexões SVM. Sem uma conexão SVM, os usuários não podem executar operações de backup, clonagem ou restauração.
Função de administrador do SnapCenter
A função de administrador do SnapCenter tem todas as permissões ativadas. Não é possível modificar as permissões para esta função. Você pode adicionar usuários e grupos à função ou removê-los.
Função de Administrador de cópia de Segurança e Clonagem de aplicações
A função App Backup and Clone Admin tem as permissões necessárias para executar ações administrativas para backups de aplicativos e tarefas relacionadas a clones. Essa função não tem permissões para gerenciamento de host, provisionamento, gerenciamento de conexão de storage ou instalação remota.
| Permissões | Ativado | Criar | Leia | Atualização | Eliminar |
|---|---|---|---|---|---|
Grupo recursos |
Não aplicável |
Sim |
Sim |
Sim |
Sim |
Política |
Não aplicável |
Sim |
Sim |
Sim |
Sim |
Backup |
Não aplicável |
Sim |
Sim |
Sim |
Sim |
Host |
Não aplicável |
Sim |
Sim |
Sim |
Sim |
Ligação de armazenamento |
Não aplicável |
Não |
Sim |
Não |
Não |
Clone |
Não aplicável |
Sim |
Sim |
Sim |
Sim |
Provisionamento |
Não aplicável |
Não |
Sim |
Não |
Não |
Painel de instrumentos |
Sim |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Relatórios |
Sim |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Restaurar |
Sim |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Recurso |
Sim |
Sim |
Sim |
Sim |
Sim |
Instalação/desinstalação do plug-in |
Não |
Não aplicável |
Não aplicável |
Não aplicável |
|
Migração |
Não |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Montagem |
Sim |
Sim |
Não aplicável |
Não aplicável |
Não aplicável |
Desmontar |
Sim |
Sim |
Não aplicável |
Não aplicável |
Não aplicável |
Restauração completa do volume |
Não |
Não |
Não aplicável |
Não aplicável |
Não aplicável |
Em segundo lugar proteção |
Não |
Não |
Não aplicável |
Não aplicável |
Não aplicável |
Monitor de trabalho |
Sim |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Função Visualizador de cópia de Segurança e Clonagem
A função Visualizador de Backup e Clone tem a visualização somente leitura de todas as permissões. Essa função também tem permissões habilitadas para descoberta, relatórios e acesso ao Painel.
| Permissões | Ativado | Criar | Leia | Atualização | Eliminar |
|---|---|---|---|---|---|
Grupo recursos |
Não aplicável |
Não |
Sim |
Não |
Não |
Política |
Não aplicável |
Não |
Sim |
Não |
Não |
Backup |
Não aplicável |
Não |
Sim |
Não |
Não |
Host |
Não aplicável |
Não |
Sim |
Não |
Não |
Ligação de armazenamento |
Não aplicável |
Não |
Sim |
Não |
Não |
Clone |
Não aplicável |
Não |
Sim |
Não |
Não |
Provisionamento |
Não aplicável |
Não |
Sim |
Não |
Não |
Painel de instrumentos |
Sim |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Relatórios |
Sim |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Restaurar |
Não |
Não |
Não aplicável |
Não aplicável |
Não aplicável |
Recurso |
Não |
Não |
Sim |
Sim |
Não |
Instalação/desinstalação do plug-in |
Não |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Migração |
Não |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Montagem |
Sim |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Desmontar |
Sim |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Restauração completa do volume |
Não |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Em segundo lugar proteção |
Não |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Monitor de trabalho |
Sim |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Função de administrador de infraestrutura
A função Administrador de infraestrutura tem permissões habilitadas para gerenciamento de host, gerenciamento de storage, provisionamento, grupos de recursos, relatórios de instalação remota e acesso ao Dashboard.
| Permissões | Ativado | Criar | Leia | Atualização | Eliminar |
|---|---|---|---|---|---|
Grupo recursos |
Não aplicável |
Sim |
Sim |
Sim |
Sim |
Política |
Não aplicável |
Não |
Sim |
Sim |
Sim |
Backup |
Não aplicável |
Sim |
Sim |
Sim |
Sim |
Host |
Não aplicável |
Sim |
Sim |
Sim |
Sim |
Ligação de armazenamento |
Não aplicável |
Sim |
Sim |
Sim |
Sim |
Clone |
Não aplicável |
Não |
Sim |
Não |
Não |
Provisionamento |
Não aplicável |
Sim |
Sim |
Sim |
Sim |
Painel de instrumentos |
Sim |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Relatórios |
Sim |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Restaurar |
Sim |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Recurso |
Sim |
Sim |
Sim |
Sim |
Sim |
Instalação/desinstalação do plug-in |
Sim |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Migração |
Não |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Montagem |
Não |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Desmontar |
Não |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |
Restauração completa do volume |
Não |
Não |
Não aplicável |
Não aplicável |
Não aplicável |
Em segundo lugar proteção |
Não |
Não |
Não aplicável |
Não aplicável |
Não aplicável |
Monitor de trabalho |
Sim |
Não aplicável |
Não aplicável |
Não aplicável |
Não aplicável |