ONTAP 适用于 VSC、VASA Provider 和 SRA 虚拟设备的基于角色的访问控制

使用 ONTAP 基于角色的访问控制 (Role-Based Access Control, RBAC),您可以控制对特定存储系统的访问以及用户可对这些存储系统执行的操作。在适用于 VMware vSphere 的 Virtual Storage Console 中,可以通过 ONTAP RBAC 与 vCenter Server RBAC 来确定特定用户可以对特定存储系统中的对象执行哪些 Virtual Storage Console (VSC) 任务。

VSC 会使用您在 VSC 中设置的凭据(用户名和密码)来对每个存储系统进行身份验证,并确定可对该存储系统执行的存储操作。VSC 会对每个存储系统使用一组凭据。这些凭据决定了可对该存储系统执行的 VSC 任务,换言之,这些凭据是为 VSC 提供的,而不是为个别 VSC 用户提供的。

ONTAP RBAC 仅适用于访问存储系统以及执行与存储相关的 VSC 任务(例如配置虚拟机)。如果您对特定存储系统没有相应的 ONTAP RBAC 特权,则无法对该存储系统上托管的 vSphere 对象执行任何任务。您可以将 ONTAP RBAC 和 VSC 专用的特权结合使用来控制用户可执行的 VSC 任务:

通过将 ONTAP RBAC 与 VSC 专用的特权结合使用,可以提供一个面向存储的安全层,并可供存储管理员进行管理。因此,与单独使用 ONTAP RBAC 或 vCenter Server RBAC 相比,您可以更精细地实施访问控制。例如,通过 vCenter Server RBAC,您可以允许 vCenterUserB 在 NetApp 存储上配置数据存储库,同时防止 vCenterUserA 配置数据存储库。如果特定存储系统的存储系统凭据不支持创建存储,则 vCenterUserB 和 vCenterUserA 都无法在该存储系统上配置数据存储库。

当您启动 VSC 任务时,VSC 会首先确认您是否具有执行此任务的正确 vCenter Server 权限。如果您的 vCenter Server 权限不足以执行此任务,则 VSC 就不需要检查对该存储系统的 ONTAP 特权,因为您未通过最初的 vCenter Server 安全检查。这样,您就无法访问该存储系统。

如果您有足够的 vCenter Server 权限,则 VSC 会检查与该存储系统的凭据(用户名和密码)关联的 ONTAP RBAC 特权(您的 ONTAP 角色),以确定您是否有足够的特权来对该存储系统执行此 VSC 任务所需的存储操作。如果您具有正确的 ONTAP 特权,您就可以访问该存储系统并执行 VSC 任务。ONTAP 角色决定了您可以对存储系统执行的 VSC 任务。

每个存储系统都有一组关联的 ONTAP 特权。

使用 ONTAP RBAC 和 vCenter Server RBAC 可提供以下优势: