Skip to main content
ONTAP Automation
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用角色和用户

贡献者

了解基本RBAC功能后、您可以开始使用ONTAP 角色和用户。

备注 请参见 "RBAC工作流" 有关如何在ONTAP REST API中创建和使用角色的示例。

管理访问

您可以通过REST API或命令行界面创建和管理ONTAP 角色。访问详细信息如下所述。

REST API

使用RBAC角色和用户帐户时、可以使用多个端点。表中的前四个用于创建和管理角色。最后两个用于创建和管理用户帐户。

提示 您可以联机访问ONTAP "API 参考" 有关详细信息的文档、包括如何使用API的示例。
端点 Description

安全性/角色

使用此端点可以创建新的REST角色。从ONTAP 9.11.1开始、您还可以创建传统角色。在这种情况下、ONTAP 会根据输入参数确定角色类型。您还可以检索已定义角色的列表。

安全性/角色/{owner.UUID}/{name}

您可以检索或删除特定集群或SVM范围的角色。UUID值用于标识定义角色的SVM (集群或数据SVM)。name值是角色的名称。

安全性/角色/{owner.UUID}/{name}/权限

使用此端点可以为特定角色配置特权。可以检索内置角色、但不能更新。有关详细信息、请参见适用于您的ONTAP 版本的API参考文档。

安全性/角色/{owner.UUID}/{name}/privileges/[path]

您可以检索、修改和删除特定权限的访问级别和可选查询值。有关详细信息、请参见适用于您的ONTAP 版本的API参考文档。

安全性/帐户

使用此端点可以创建新的集群或SVM范围的用户帐户。在帐户正常运行之前、必须包含或随后添加多种类型的信息。您还可以检索已定义的用户帐户列表。

/security/accouns/{owner.UUID}/{name}

您可以检索、修改和删除特定集群或SVM范围的用户帐户。UUID值用于标识定义用户的SVM (集群或数据SVM)。name值是帐户的名称。

命令行界面

下面介绍了相关的ONTAP 命令行界面命令。所有命令均通过管理员帐户在集群级别访问。

命令 Description

s安全性登录

此目录包含创建和管理用户登录所需的命令。

s安全性登录REST角色

此目录包含创建和管理与用户登录关联的REST角色所需的命令。

s安全登录角色

此目录包含创建和管理与用户登录关联的传统角色所需的命令。

角色定义

其余角色和传统角色通过一组属性进行定义。

所有者和范围

角色可以归ONTAP 集群或集群中的特定数据SVM所有。所有者还隐式确定角色的范围。

唯一名称

每个角色在其范围内都必须具有唯一的名称。集群角色的名称在ONTAP 集群级别必须是唯一的、而SVM角色在特定SVM中必须是唯一的。

备注 新的REST角色的名称必须在REST角色和传统角色之间是唯一的。这是因为、创建REST角色还会导致使用相同名称的新传统_MAPPING角色。
一组权限

每个角色都包含一组或多个权限。每个权限可标识特定资源或命令以及关联的访问级别。

特权

一个角色可以包含一个或多个权限。每个权限定义都是一个元组、用于建立对特定资源或操作的访问级别。

资源路径

资源路径标识为REST端点或CLI命令/命令目录路径。

REST端点

API端点确定了REST角色的目标资源。

CLI 命令

CLI命令用于标识传统角色的目标。此外、还可以指定命令目录、该目录将包括ONTAP 命令行界面层次结构中的所有下游命令。

访问级别

访问级别定义了角色对特定资源路径或命令的访问类型。访问级别通过一组预定义的关键字来标识。ONTAP 9.6引入了三种访问级别。它们既可用于传统角色、也可用于REST角色。此外、ONTAP 9.11.1增加了三个新的访问级别。这些新访问级别只能用于REST角色。

备注 访问级别遵循CRUD模式。使用REST时、此方法基于主要HTTP方法(POST、GET、PATCH、DELETE)。相应的CLI操作通常会映射到REST操作(create、show、modify、delete)。
访问级别 其他基本功能 已添加 仅限REST角色

不适用

9.6

-readonly

获取

9.6

全部

获取、发布、修补、删除

9.6

read_create

获取、发布

9.11.1

是的。

read_modify

获取、修补

9.11.1

是的。

read_create_modify

获取、发布、修补

9.11.1

是的。

可选查询

创建传统角色时、您可以选择包含*查询*值、以确定命令或命令目录的适用对象子集。

内置角色摘要

ONTAP 中包含多个预定义角色、您可以在集群或SVM级别使用这些角色。

集群范围的角色

集群范围内提供了多个内置角色。

请参见 "集群管理员的预定义角色" 有关详细信息 …​

Role Description

管理员

具有此角色的管理员拥有不受限制的权限、可以在ONTAP 系统中执行任何操作。他们可以配置所有集群级别和SVM级别的资源。

AutoSupport

这是为AutoSupport 帐户量身定制的一个特殊角色。

backup

此特殊角色适用于需要备份系统的备份软件。

SnapLock

这是为SnapLock 帐户量身定制的一个特殊角色。

-readonly

具有此角色的管理员可以查看集群级别的所有内容、但无法进行任何更改。

不提供任何管理功能。

SVM范围的角色

SVM范围内提供了多个内置角色。通过* vsadmin*、您可以访问最通用且功能最强大的功能。还有几个针对特定管理任务量身定制的其他角色、其中包括:

  • vsadmin-volume

  • vsadmin-protocol

  • vsadmin-backup

  • vsadmin-SnapLock

  • vsadmin-readonly

请参见 "SVM 管理员的预定义角色" 有关详细信息 …​

比较角色类型

在选择"Rest"角色或"*传统"角色之前、您应了解这些差异。下面介绍了比较这两种角色类型的一些方法。

备注 对于更高级或更复杂的RBAC使用情形、通常应使用传统角色。

用户如何访问ONTAP

在创建角色之前、请务必了解用户将如何访问ONTAP 系统。可以根据此情况确定角色类型。

访问 建议的类型

仅限REST API

REST角色设计为与REST API结合使用。

REST API和CLI

您可以定义一个REST角色、此角色也会创建相应的传统角色。

仅限CLI

您可以创建传统角色。

访问路径的精度

为REST角色定义的访问路径基于REST端点。传统角色的访问路径基于命令行界面命令或命令目录。此外、您还可以包括具有传统角色的可选查询参数、以便根据命令参数值进一步限制访问。