Skip to main content
NetApp Console setup and administration
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

了解NetApp Console身份和访问管理

贡献者 netapp-tonias netapp-ahibbard
PDF

使用NetApp控制台的身份和访问管理 (IAM) 来组织您的NetApp资源,并根据您的业务结构(按位置、部门或项目)控制访问权限。

资源按层级排列:组织位于顶层,其次是文件夹(可以包含其他文件夹或项目),然后是项目,项目包含存储系统、工作负载和代理。

在组织、文件夹或项目级别为成员分配基于角色的访问控制 (RBAC) 权限,以确保用户拥有对资源的适当访问权限。

备注 您必须拥有_超级管理员_、_组织管理员_或_文件夹或项目管理员_角色才能在NetApp Console中管理 IAM。

下图从基本层面说明了这一层次结构。

资源管理组成部分的概念图]

身份和访问管理组件

在NetApp Console中,您可以使用三个主要组件来组织存储资源:组织组件、资源组件和用户访问组件。

组织内的项目和文件夹

在您的 IAM 结构中,您使用三个组织组件:组织、项目和文件夹。您可以通过为用户分配以下任何级别的角色来授予他们访问权限。

组织

_组织_是控制台 IAM 系统的顶层,通常代表您的公司。您的组织由文件夹、项目、成员、角色和资源组成。代理与组织内的特定项目相关联。

项目

项目用于提供对存储资源的访问。必须先将资源分配给项目,其他人才能访问这些资源。您可以将多个资源分配给一个项目,也可以创建多个项目。然后,您可以为用户分配项目权限,使他们能够访问项目中的资源。

例如,您可以根据需要,将本地ONTAP系统与单个项目或组织中的所有项目关联起来。

"了解如何向您的组织添加项目。"

文件夹

将相关项目分组到_文件夹_中,以便按位置、站点或业务部门进行组织。您无法直接将资源与文件夹关联,但将用户分配到文件夹级别的角色,即可使其访问该文件夹中的所有项目。

"了解如何向您的组织添加文件夹。"

资源

资源包括存储系统、 Keystone订阅以及控制台代理。

+ 必须先将资源与项目关联,其他人才能访问该资源。

+

例如,您可以将Cloud Volumes ONTAP系统与一个项目或组织中的所有项目关联起来。资源的分配方式取决于贵组织的需求。

+

"了解如何将资源关联到项目。"

存储系统和Keystone订阅

存储系统是您在NetApp Console中管理的主要资源。NetApp Console支持对本地和云存储系统的管理。必须先在项目中添加存储系统,其他人才能访问该项目。

存储系统会自动与添加它们的项目关联,但您也可以从“资源”页面将它们与其他项目或文件夹关联。

Keystone订阅也是您可以与项目关联的资源,以便授予用户在NetApp Console中访问订阅的权限。

控制台代理

组织管理员创建控制台代理来管理存储系统并启用NetApp数据服务。代理最初与创建它们的项目关联,但管理员可以从“代理”页面将它们添加到其他项目或文件夹。

将代理与项目关联起来,可以管理该项目中的资源;而将代理与文件夹关联起来,可以让文件夹或项目管理员决定哪些项目应该使用该代理。代理人必须与特定项目关联才能提供管理能力。

"了解如何将代理商与项目关联起来。"

成员及角色

成员

您的组织的成员是用户帐户或服务帐户。应用程序通常使用服务帐户来完成指定的任务,而无需人工干预。

成员注册NetApp Console后,您需要将他们添加到您的组织中。添加完成后,您可以为他们分配角色,以便授予他们访问资源的权限。您可以手动从控制台添加服务帐户,也可以通过NetApp ConsoleIAM API 自动创建和管理服务帐户。

"了解如何向您的组织添加成员。"

访问角色

控制台提供您可以分配给组织成员的访问角色。

将成员与角色关联时,您可以为整个组织、特定文件夹或特定项目授予该角色。您选择的角色赋予成员对层次结构中选定部分的资源的权限。

NetApp Console提供细粒度的角色控制,遵循“最小权限”原则,这意味着访问角色旨在仅向用户授予其所需的权限。

这意味着随着用户职责的增加,他们可能会被分配多个角色。

"了解访问角色"

IAM 策略示例

小型组织战略

对于用户少于 50 人且采用集中式存储管理的组织,可以考虑使用超级管理员和超级查看者角色的简化方法。

示例:ABC公司(5人团队)

  • 组织结构: 单一组织,下设 3 个项目(生产、开发、备份)

  • 角色:

    • 2 位高级成员:拥有*超级管理员*角色,可获得完整的管理权限

    • 3 名团队成员:*超级查看者*角色,拥有监控权限但无修改权限

  • 代理策略:所有项目都关联一个代理,以实现资源共享访问。

  • 优势:简化管理,降低角色复杂性,适合需要广泛访问权限的团队

多区域企业战略

对于拥有区域运营和专业团队的大型组织,应采用层级式方法,用文件夹表示地理或业务单元边界。

例如:XYZ公司(跨国公司)

  • 结构: 组织结构 > 区域文件夹(北美、欧洲、亚太) > 每个区域的项目文件夹

  • 平台角色:

    • 1 组织管理:全球监督和政策管理

    • 3 文件夹或项目管理员:区域控制(每个区域一个)

    • 1 联盟管理员:企业身份提供商集成

  • 按区域划分的存储角色:

    • 9 存储管理员:发现和管理指定区域中的存储系统

    • 2 存储查看器:监控跨区域的存储资源

    • 1 系统健康专家:无需修改系统即可管理存储健康状况

  • 数据服务角色:

    • 备份和恢复管理员:按项目根据备份职责而定

    • 勒索软件恢复管理员:负责跨项目的安全团队监控

  • 代理策略:与相应地理项目相关的区域代理

  • 优势: 通过角色分离、区域自主权和遵守当地法规来增强安全性

部门专业化战略

对于拥有需要特定数据服务访问权限的专业团队的组织,应根据职能职责进行有针对性的角色分配。

例如:TechCorp(一家中型科技公司)

  • 结构: 组织 > 部门文件夹(IT、安全、开发) > 项目特定资源

  • 专业岗位:

    • 安全团队:*勒索软件恢复管理员*和*分类查看器*角色

    • 备份团队:备份和恢复超级管理员,负责全面的备份操作

    • 开发团队:测试环境管理存储管理员

    • 合规团队:运营支持分析师,负责监控和支持案例管理

  • 代理策略: 根据资源所有权将代理与部门项目关联起来

  • 优势: 可定制的访问控制、更高的运营效率以及明确的专项任务责任划分

NetApp Console中 IAM 的后续步骤