简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

配置ONTAP用户角色和权限

09/29/2025 贡献者

PDF

使用ONTAP tools for VMware vSphere和ONTAP System Manager 的 ONTAP 工具中的 JSON 文件为存储后端配置用户角色和权限。

开始之前

使用 https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip 从ONTAP tools for VMware vSphere下载ONTAPPrivileges文件。下载 zip 文件后，您会发现两个 JSON 文件。配置ASA r2 系统时使用ASA r2 特定的 JSON 文件。

您可以在集群级别或直接在存储虚拟机 (SVM) 级别创建用户。如果您不使用 user_roles.json 文件，请确保用户具有所需的最低 SVM 权限。
以存储后端的管理员权限登录。

步骤

提取您下载的 https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip 文件。
使用集群的集群管理IP地址访问ONTAP系统管理器。
使用管理员权限登录集群。要配置用户：
1. 要配置集群ONTAP工具用户，请选择集群 > 设置 > *用户和角色*窗格。
2. 要配置 SVM ONTAP工具用户，请选择“存储 SVM”>“设置”>“用户和角色”窗格。
3. 在“用户”下选择*Add*。
4. 在*添加用户*对话框中、选择*虚拟化产品*。
5. *浏览*选择并上传ONTAPPrivilegesJSON 文件。对于非ASA r2 系统，选择 users_roles.json 文件；对于ASA r2 系统，选择 users_roles_ASAr2.json 文件。
  
  ONTAP工具会自动填充产品字段。
6. 从下拉菜单中选择产品功能为*VSC、VASA Provider 和 SRA*。
  
  ONTAP工具会根据您选择的产品功能自动填充角色字段。
7. 输入所需的用户名和密码。
8. 选择用户需要的权限（发现、创建存储、修改存储、销毁存储、NAS/SAN 角色），然后选择*添加*。

ONTAP工具添加了新的角色和用户。您可以查看您配置的角色下的权限。

SVM聚合映射要求

使用 SVM 用户凭据配置数据存储库时，ONTAP tools for VMware vSphere在数据存储库 POST API 中指定的聚合上创建卷。 ONTAP阻止 SVM 用户在未映射到 SVM 的聚合上创建卷。在创建卷之前，使用ONTAP REST API 或 CLI 将 SVM 映射到所需的聚合。

REST API：

PATCH "/api/svm/svms/f16f0935-5281-11e8-b94d-005056b46485" '{"aggregates":{"name":["aggr1","aggr2","aggr3"]}}'

ONTAP命令行界面：

sti115_vsim_ucs630f_aggr1 vserver show-aggregates                                        AvailableVserver        Aggregate      State         Size Type    SnapLock Type-------------- -------------- ------- ---------- ------- --------------svm_test       sti115_vsim_ucs630f_aggr1                               online     10.11GB vmdisk  non-snaplock

手动创建ONTAP用户和角色

无需 JSON 文件即可手动创建用户和角色。

使用集群的集群管理IP地址访问ONTAP系统管理器。
使用管理Privileges登录到集群。
1. 要配置集群ONTAP工具角色，请选择集群 > 设置 > 用户和角色。
2. 要配置集群 SVM ONTAP工具角色，请选择 存储 SVM > 设置 > 用户和角色。
创建角色：
1. 在*roles*表下选择*Add*。
2. 输入*角色名称*和*角色属性*详细信息。
  
  添加*REST API 路径*并从下拉列表中选择访问权限。
3. 添加所有所需的API并保存更改。
创建用户：
1. 在*USERS*表下选择*ADD*。
2. 在*添加用户*对话框中，选择*系统管理器*。
3. 输入*用户名*。
4. 从上面的*Create Roles*步骤中创建的选项中选择*Role*。
5. 输入要授予访问权限的应用程序和身份验证方法。ONTAPI和HTTP是必需的应用程序，并且身份验证类型为*Password*。
6. 设置*用户密码*和*保存*用户。

非管理员全局范围集群用户所需的最低权限列表

本节列出了没有 JSON 文件的非管理员全局范围集群用户所需的最低权限。如果集群处于本地范围内，请使用 JSON 文件创建用户，因为适用ONTAP tools for VMware vSphere需要的不仅仅是在ONTAP上进行配置的读取权限。

您可以使用 API 访问功能：

API

访问级别

用于

/API/cluster

只读

集群配置发现

/API/cluster-licensing /许可证

只读

许可证检查协议特定的许可证

/API/cluster-node

只读

平台类型发现

/api/安全性/帐户

只读

特权发现

/api/安全性/角色

只读

特权发现

/API/storage/Aggregates

只读

数据存储/卷配置期间的聚合空间检查

/API/storage/cluster

只读

获取集群级别空间和效率数据

/API/storage/disks

只读

获取聚合中关联的磁盘

/API/storage/QoS/策略

读取/创建/修改

QoS 和 VM 策略管理

/apI/SVM/SVM

只读

在本地添加集群时获取 SVM 配置。

/API/network/IP/接口

只读

添加存储后端 - 确定管理 LIF 范围是集群/SVM

/API/storage/availability分区

只读

SAZ 发现。适用于ONTAP 9.16.1 及更高版本和ASA r2 系统。

/api/cluster/metrocluster

只读

获取MetroCluster状态和配置详细信息。

为基于VMware vSphere ONTAP API的集群范围用户创建ONTAP工具

PATCH 操作和数据存储上的自动回滚需要发现、创建、修改和销毁权限。缺少权限可能会导致工作流程和清理问题。

具有发现、创建、修改和销毁权限的基于ONTAP API 的用户可以管理ONTAP工具工作流。

要使用上述所有Privileges创建集群范围的用户、请运行以下命令：

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all

security login rest-role create -role <role-name> -api /api/storage/volumes -access all

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all

security login rest-role create -role <role-name> -api /api/storage/luns -access all

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all

security login rest-role create -role <role-name> -api /api/storage/qos/policies -access all

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify

security login rest-role create -role <role-name> -api /api/cluster -access readonly

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly

security login rest-role create -role <role-name> -api /api/cluster/licensing/licenses -access readonly

security login rest-role create -role <role-name> -api /api/cluster/nodes -access readonly

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly

security login rest-role create -role <role-name> -api /api/security/roles -access readonly

security login rest-role create -role <role-name> -api /api/storage/aggregates -access readonly

security login rest-role create -role <role-name> -api /api/storage/cluster -access readonly

security login rest-role create -role <role-name> -api /api/storage/disks -access readonly

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly

security login rest-role create -role <role-name> -api /api/cluster/metrocluster -access readonly

此外、对于ONTAP 9.16.0及更高版本、请运行以下命令：

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all

对于ASA ONTAP R2系统上的9.16.1及更高版本、运行以下命令：

security login rest-role create -role <role-name> -api /api/storage/availability-zones -access readonly

为基于VMware vSphere ONTAP API的SVM范围的用户创建ONTAP工具

运行以下命令创建具有所有权限的 SVM 范围用户：

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/volumes -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/luns -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/roles -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly -vserver <vserver-name>

此外、对于ONTAP 9.16.0及更高版本、请运行以下命令：

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all -vserver <vserver-name>

要使用上述基于API创建的角色创建基于API的新用户、请运行以下命令：

security login create -user-or-group-name <user-name> -application http -authentication-method password -role <role-name> -vserver <cluster-or-vserver-name>

示例

security login create -user-or-group-name testvpsraall -application http -authentication-method password -role OTV_10_VP_SRA_Discovery_Create_Modify_Destroy -vserver C1_sti160-cluster_

运行以下命令解锁帐户并启用管理界面访问：

security login unlock -user <user-name> -vserver <cluster-or-vserver-name>

示例

security login unlock -username testvpsraall -vserver C1_sti160-cluster

将适用于VMware vSphere 10.1用户的ONTAP工具升级到10.3用户

对于使用JSON文件创建了集群范围用户的适用于VMware vSphere 10.1的ONTAP工具用户、请对用户admin Privileges使用以下ONTAP命令行界面命令升级到10.3版。

对于产品功能：

VSC
VSC和VASA Provider
VSC和SRA
VSC、VASA Provider和SRA。

集群Privileges：

security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve"-access all

security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem show"-access all

security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem host show"-access all

security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem map show"-access all

security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve sho-interface"-access read

security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem host add"-access all

security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem map add"-access all

security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve"-access all

security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem delete"-access all

security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem host remove"-access all

security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem map remove"-access all

对于使用json文件创建了SVM范围的用户的适用于VMware vSphere 10.1的ONTAP工具用户、请对管理员用户Privileges使用ONTAP命令行界面命令升级到10.3版。

SVM Privileges：

security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve"-access all -vserver nve<vserver-name>

security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem show"-access all -vserver nv<vserver-name>

security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem host show"-access all -vserver nv<vserver-name>

security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem map show"-access all -vserver nv<vserver-name>

security login Role create -Role <existing-role-name>-cmddirname "vserver nve sho-interface"-access read -vserver nv<vserver-name>

security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem host add"-access all -vserver nv<vserver-name>

security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem map add"-access all -vserver nv<vserver-name>

security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve"-access all -vserver nve<vserver-name>

security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem delete"-access all -vserver nv<vserver-name>

security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem host remove"-access all -vserver nv<vserver-name>

security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem map remove"-access all -vserver nv<vserver-name>

要启用以下命令，请将命令 vserver nvme namespace show 和 vserver nvme subset show 添加到现有角色。

vserver nvme namespace create

vserver nvme namespace modify

vserver nvme subsystem create

vserver nvme subsystem modify

将适用于VMware vSphere 10.3用户的ONTAP工具升级到10.4用户

从ONTAP 9.16.1 开始，将ONTAP tools for VMware vSphere升级到 10.4 用户。

如果适用于VMware vSphere 10.3的ONTAP工具用户的集群范围用户是使用JSON文件和ONTAP 9.16.1或更高版本创建的、请对管理员用户Privileges使用ONTAP命令行界面命令升级到10.4版本。