VSC、VASA Provider、SRA仮想アプライアンス用のONTAPのRBAC

ONTAPのRBACを使用すると、特定のストレージ システムへのアクセスとそれらのストレージ システムで実行できる操作を制御できます。Virtual Storage Console for VMware vSphereでは、ONTAP RBACとvCenter Server RBACにより、特定のストレージ システムのオブジェクトに対して特定のユーザが実行できるVirtual Storage Console(VSC)タスクが決まります。

VSCでは、各ストレージ システムの認証とそのストレージ システムで実行できるストレージ操作の判別に、VSCで設定したクレデンシャル(ユーザ名とパスワード)が使用されます。ストレージ システムごとに1組のクレデンシャルが使用され、そのクレデンシャルに基づいて、ストレージ システムで実行できるVSCタスクが決まります。つまり、このクレデンシャルはVSCのクレデンシャルであり、個々のVSCユーザに対するものではありません。

ONTAP RBACは、ストレージ システムへのアクセスとストレージ関連のVSCタスク(仮想マシンのプロビジョニングなど)の実行にのみ適用されます。それぞれのストレージ システムに対する適切なONTAP RBAC権限がないと、そのストレージ システムでホストされるvSphereオブジェクトに対してタスクを実行することはできません。ONTAP RBACとVSC固有の権限を組み合わせることで、ユーザが実行できるVSCタスクを制御することができます。

ONTAP RBACとVSC固有の権限を使用すると、ストレージ主体のセキュリティ レイヤをストレージ管理者が管理できるようになります。これにより、ONTAP RBACまたはvCenter Server RBACのどちらか一方のアクセス制御だけを使用した場合に比べ、よりきめ細かい制御が可能になります。たとえば、vCenter Server RBACを使用して、ネットアップ ストレージでのデータストアのプロビジョニングをvCenterUserBには許可し、vCenterUserAには許可しないように設定したとします。この場合、特定のストレージ システムのクレデンシャルに対してストレージの作成を禁止すれば、vCenterUserBとvCenterUserAのどちらもそのストレージ システムでデータストアのプロビジョニングを実行することはできません。

VSCタスクを開始すると、最初にそのタスクに対する正しいvCenter Serverアクセス許可がユーザにあるかどうかが検証されます。タスクを実行するための十分なvCenter Serverアクセス許可がなければ、最初のvCenter Serverのセキュリティ チェックをパスできないため、そのストレージ システムのONTAP権限は確認されません。そのため、ストレージ システムへのアクセスは許可されません。

十分なvCenter Serverアクセス許可がある場合は、次にストレージ システムのクレデンシャル(ユーザ名とパスワード)に関連付けられたONTAP RBAC権限(ONTAPロール)について、VSCタスクで必要なストレージ操作をそのストレージ システムで実行するための十分な権限があるかどうかが確認されます。適切なONTAP権限があれば、ストレージ システムにアクセスしてVSCタスクを実行できます。ストレージ システムで実行できるVSCタスクはONTAPロールで決まります。

各ストレージ システムには、一連のONTAP権限が関連付けられます。

ONTAP RBACとvCenter Server RBACの両方を使用すると、次のような利点があります。