了解NetApp Console身份和访问管理
建议更改
PDF
使用NetApp控制台的身份和访问管理 (IAM) 来组织您的NetApp资源,并根据您的业务结构(按位置、部门或项目)控制访问权限。
您可以在层次结构中组织资源:组织位于顶部,然后是文件夹(可以包含其他文件夹或项目),然后是项目,项目包含存储系统、工作负载和代理。
在组织、文件夹或项目级别分配访问角色,以便用户有权访问资源。
|
要管理 NetApp Console 中的 IAM,您必须具有 Super admin、Organization admin 或 Folder or project admin 角色。 |
下图从基本层面说明了这一层次结构。
身份和访问管理组件
NetApp Console IAM 基于三种类型的组件:定义层次结构的组织组件、在该层次结构中分配的资源以及控制谁可以访问什么的成员和角色。
NetApp Console 组织组件
组织组件(组织、文件夹和项目)形成一个层次结构,用于确定资源的分组方式和访问权限的委派方式。
- 组织
-
_组织_是 Console IAM 系统的顶层,通常代表您的公司。您的组织由文件夹、项目、成员、角色和资源组成。资源与项目相关联,成员在组织、文件夹或项目级别被分配角色。
- 项目
-
项目组存储资源。将资源分配给项目,并在项目级别授予用户访问权限。资源可以属于多个项目。具有项目访问权限的用户可以使用其资源。
例如,您可以根据需要,将本地ONTAP系统与单个项目或组织中的所有项目关联起来。
- 文件夹
-
对_文件夹_中的相关项目进行分组,按位置、站点或业务部门对其进行组织。无法将资源直接关联到文件夹,但为用户分配文件夹级别的角色可使他们访问该文件夹中的所有项目。
|
|
具有 Org admin 角色的用户可以向文件夹添加资源,以将资源与项目关联的任务委托给相应文件夹的 Folder 或 project admins。"了解如何将资源与文件夹关联". |
资源
resource 是 NetApp Console 知道并可以分配给项目的实体。Resources 包括存储系统、Keystone 订阅、某些 NetApp Backup and Recovery 工作负载以及 NetApp Console 代理。
将资源与项目关联,以便拥有项目访问权限的用户可以使用该资源。
例如,您可以将Cloud Volumes ONTAP系统与一个项目或组织中的所有项目关联起来。资源的分配方式取决于贵组织的需求。
- 存储系统
-
存储系统是您在 NetApp Console 中管理的主要资源。NetApp Console 支持对本地和云存储系统的管理。将存储系统添加到项目,以便具有项目访问权限的用户可以访问它。
存储系统会自动与添加它们的项目关联,但您可以从*资源*页面将其与其他项目或文件夹关联。您无法将 FSx for NetApp ONTAP 存储系统与项目或文件夹关联,但您可以在*系统*页面或从工作负载中查看它们。
- Keystone订阅
-
Keystone订阅也是您可以与项目关联的资源,以便授予用户在NetApp Console中访问订阅的权限。
- 备份和恢复工作负载(Oracle 和 Microsoft SQL Server)
-
某些备份和恢复工作负载也被视为资源。将备份和恢复工作负载分配给项目,以便授予用户访问权限。
- 控制台代理
-
组织管理员创建 Console 代理来管理存储系统并启用 NetApp 数据服务。代理最初被绑定到创建它们的项目,但管理员可以从 Agents 页面将其添加到其他项目。
成员及角色
成员是组织中的用户和服务帐户。角色定义他们可以执行的操作以及层次结构的哪个级别(组织、文件夹或项目)。
- 成员
-
您的组织的成员是用户帐户或服务帐户。应用程序通常使用服务帐户来完成指定的任务,而无需人工干预。
在成员注册 NetApp Console 后,将其添加到您的组织。添加成员后,分配角色以提供对资源的访问权限。您可以从控制台内手动添加服务帐户,或通过 NetApp Console IAM API 自动创建和管理它们。
- 访问角色
-
控制台提供您可以分配给组织成员的访问角色。
将成员与角色关联时,可以为整个组织、特定文件夹或特定项目授予该角色。您选择的角色授予成员对层次结构选定部分中的资源的权限。
NetApp Console 提供符合"最小权限"原则的粒度角色,这意味着访问角色旨在仅为用户提供他们需要的访问权限。
随着职责的扩展,用户可能会扮演多个角色。
"了解访问角色" 。
IAM 策略示例
正确的 IAM 结构取决于组织的规模和团队的组织方式。以下示例演示了不同的组织如何使用 IAM 层次结构有效地管理访问权限。
小型组织战略
对于用户少于 50 人且采用集中式存储管理的组织,可以考虑使用超级管理员和超级查看者角色的简化方法。
示例:ABC公司(5人团队)
-
组织结构: 单一组织,下设 3 个项目(生产、开发、备份)
-
角色:
-
2 位高级成员:拥有*超级管理员*角色,可获得完整的管理权限
-
3 名团队成员:*超级查看者*角色,拥有监控权限但无修改权限
-
-
代理策略:所有项目都关联一个代理,以实现资源共享访问。
-
优势:简化管理,降低角色复杂性,适合需要广泛访问权限的团队
多区域企业战略
对于拥有区域运营和专业团队的大型组织,应采用层级式方法,用文件夹表示地理或业务单元边界。
例如:XYZ公司(跨国公司)
-
结构: 组织结构 > 区域文件夹(北美、欧洲、亚太) > 每个区域的项目文件夹
-
平台角色:
-
1 组织管理:全球监督和政策管理
-
3 文件夹或项目管理员:区域控制(每个区域一个)
-
1 联盟管理员:企业身份提供商集成
-
-
按区域划分的存储角色:
-
9 存储管理员:发现和管理指定区域中的存储系统
-
2 存储查看器:监控跨区域的存储资源
-
1 系统健康专家:无需修改系统即可管理存储健康状况
-
-
数据服务角色:
-
备份和恢复管理员:按项目根据备份职责而定
-
勒索软件恢复管理员:负责跨项目的安全团队监控
-
-
代理策略:与相应地理项目相关的区域代理
-
优势: 通过角色分离、区域自主权和遵守当地法规来增强安全性
部门专业化战略
对于拥有需要特定数据服务访问权限的专业团队的组织,应根据职能职责进行有针对性的角色分配。
例如:TechCorp(一家中型科技公司)
-
结构: 组织 > 部门文件夹(IT、安全、开发) > 项目特定资源
-
专业岗位:
-
安全团队:*勒索软件恢复管理员*和*分类查看器*角色
-
备份团队:备份和恢复超级管理员,负责全面的备份操作
-
开发团队:测试环境管理存储管理员
-
合规团队:运营支持分析师,负责监控和支持案例管理
-
-
代理策略: 根据资源所有权将代理与部门项目关联起来
-
优势: 可定制的访问控制、更高的运营效率以及明确的专项任务责任划分