Skip to main content
NetApp Console setup and administration
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

了解NetApp控制台身份和访问管理

贡献者 netapp-tonias
PDF

NetApp控制台中的身份和访问管理 (IAM) 使您能够组织和控制对NetApp资源的访问。您可以根据组织的层次结构来组织资源。例如,您可以按地理位置、站点或业务部门组织资源。然后,您可以将 IAM 角色分配给层次结构特定部分的成员,从而阻止访问层次结构其他部分的资源。

IAM 的工作原理

IAM 允许您通过将用户访问角色分配给层次结构的特定部分来授予资源访问权限。例如,可以为成员分配具有五种资源的项目的文件夹或项目管理员角色。

使用 IAM 时,您可以管理以下组件:

  • 该组织

  • 文件夹

  • 项目

  • 资源

  • 成员

  • 角色和权限

  • 控制台代理

资源按层次结构组织:

  • 该组织处于层级结构的顶端。

  • 文件夹是组织或其他文件夹的子文件夹。

  • 项目是组织或文件夹的子项。

  • 资源与一个或多个文件夹或项目相关联。

下图从基本层面说明了这一层次结构。

显示访问管理的资源层次结构的概念图:组织、文件夹、项目和资源。

组织

_组织_是控制台 IAM 系统的顶层,通常代表您的公司。您的组织由文件夹、项目、成员、角色和资源组成。代理与组织内的特定项目相关联。

文件夹

_文件夹_使您能够将相关项目分组在一起,并将它们与组织中的其他项目分开。例如,文件夹可能代表地理位置(欧盟或美国东部)、站点(伦敦或多伦多)或业务部门(工程或营销)。

您可以组织文件夹以包含项目、其他文件夹或两者。它们是可选的。

项目

_项目_代表控制台中的一个工作区,组织成员可以从*系统*页面访问该工作区以管理资源。例如,一个项目可以包括一个Cloud Volumes ONTAP系统、一个本地ONTAP集群或一个 FSx for ONTAP文件系统。

一个组织可以有一个或多个项目。项目可以直接位于组织下或文件夹内。

资源

_资源_是您在控制台中创建或发现的系统。

当您创建或发现资源时,该资源将与当前选定的项目相关联。这可能是您想要与该资源关联的唯一项目。但您可以选择将该资源与您组织中的其他项目相关联。

例如,您可以将Cloud Volumes ONTAP系统与另一个项目或组织中的所有项目关联。如何关联资源取决于您组织的需求。

提示 代理还可以与多个项目相关联。了解有关使用代理与 IAM 的更多信息

何时将资源与文件夹关联

您还可以选择将资源与文件夹关联,但这是可选的,并且可以满足特定用例的需求。

_组织管理员_可以将资源与文件夹关联,以便_文件夹或项目管理员_可以将其链接到文件夹中的相应项目。

例如,假设您有一个包含两个项目的文件夹:

该图显示了一个文件夹和文件夹中的两个项目:项目 A 和项目 B。

_组织管理员_可以将资源与文件夹关联:

该图显示了一个文件夹、与该文件夹关联的资源以及位于该文件夹中的两个项目:项目 A 和项目 B。

将资源与文件夹关联并不会使所有项目都可以访问它;只有文件夹或项目管理员可以看到它。 _文件夹或项目管理员_决定哪些项目可以访问它,并将资源与适当的项目关联。

在此示例中,管理员将资源与项目 A 关联:

该图显示了一个文件夹、文件夹中的两个项目:项目 A 和项目 B,以及与项目 A 关联的资源。

拥有项目 A 权限的成员现在可以访问该资源。

成员

您的组织的成员是用户帐户或服务帐户。应用程序通常使用服务帐户来完成指定的任务,而无需人工干预。

每个组织至少包含一个具有“组织管理员”角色的用户(控制台会自动将此角色分配给创建该组织的用户)。您可以将其他成员添加到组织,并在资源层次结构的不同级别分配不同的权限。

角色和权限

您不能直接向组织成员授予权限。相反,您授予每个成员一个角色。角色包含一组权限,使成员能够在资源层次结构的特定级别执行特定操作。

在层次结构级别授予角色会限制成员对所需资源和服务的访问。

您可以在层次结构中分配角色

当您将成员与角色关联时,您需要选择整个组织、特定文件夹或特定项目。您选择的角色将授予成员对层次结构中选定部分中的资源的权限。

角色继承

当您分配角色时,该角色将在组织层次结构中继承:

组织

在组织级别授予成员访问角色将赋予他们访问所有文件夹、项目和资源的权限。

文件夹

当您在文件夹级别授予访问角色时,文件夹中的所有文件夹、项目和资源都会继承该角色。

例如,如果您在文件夹级别分配角色,并且该文件夹有三个项目,则该成员将对这三个项目和任何相关资源拥有权限。

项目

当您在项目级别授予访问角色时,与该项目相关的所有资源都会继承该角色。

多重角色

您可以为每个组织成员分配组织层次结构不同级别的角色。可以是相同的角色,也可以是不同的角色。例如,您可以为项目 1 和项目 2 分配成员角色 A。或者您可以为项目 1 分配成员角色 A,为项目 2 分配角色 B。

访问角色

控制台提供您可以分配给组织成员的访问角色。

"了解访问角色"

控制台代理

当“组织管理员”创建控制台代理时,控制台会自动将该代理与组织和当前选定的项目关联。 _组织管理员_可以从组织中的任何位置自动访问该代理。但是,如果您的组织中有具有不同角色的其他成员,则这些成员只能从创建该代理的项目访问该代理,除非您将该代理与其他项目关联。

在以下情况下,您可以为另一个项目提供控制台代理:

  • 您希望允许组织中的成员使用现有代理来创建或发现另一个项目中的其他系统

  • 您将现有资源与另一个项目关联,并且该资源由控制台代理管理

    如果使用控制台代理发现与其他项目关联的资源,那么您还需要将该代理与该资源现在关联的项目关联。否则,没有“组织管理员”角色的成员将无法从“系统”页面访问该代理及其关联资源。

您可以从控制台 IAM 中的“代理”页面创建关联:

  • 将控制台代理与项目关联

    当您将控制台代理与项目关联时,可以在查看项目时从*系统*页面访问该代理。

  • 将控制台代理与文件夹关联

    将控制台代理与文件夹关联并不会自动使文件夹中的所有项目都可以访问该代理。组织成员无法从项目访问控制台代理,除非您将代理与特定项目关联。

    _组织管理员_可能会将控制台代理与文件夹关联,以便_文件夹或项目管理员_可以决定将该代理与文件夹中的相应项目关联。

IAM 示例

这些示例演示了如何建立您的组织。

简单的组织

下图显示了使用默认项目且没有文件夹的组织的简单示例。一名成员管理整个组织。

概念图显示了一个具有项目、相关资源和一个组织管理员的组织。

先进组织

下图显示了一个组织使用文件夹来组织业务中每个地理位置的项目。每个项目都有自己的一套相关资源。成员包括组织管理员和组织中每个文件夹的管理员。

概念图显示一个组织有三个文件夹,每个文件夹有三个项目及其相关资源。共有四名成员:一名组织管理员和三名文件夹管理员。

IAM 的功能

以下示例描述了如何使用 IAM 来管理控制台组织:

  • 授予特定成员特定角色,以便他们只能完成所需的任务。

  • 由于成员调动部门或承担额外责任而修改成员权限。

  • 删除已离开公司的用户。

  • 将文件夹或项目添加到您的层次结构中,因为新的业务部门已添加NetApp存储。

  • 将资源与另一个项目关联起来,因为该资源具有另一个团队可以利用的能力。

  • 查看成员可以访问的资源。

  • 查看与特定项目相关的成员和资源。

下一步