ONTAP 工具中基于角色的访问控制概述
建议更改
PDF
vCenter Server 提供了基于角色的访问控制( Role-Based Access Control , RBAC ),可用于控制对 vSphere 对象的访问。vCenter Server可使用用户和组权限以及角色和特权、在清单中的许多不同级别提供集中式身份验证和授权服务。vCenter Server具有五个用于管理RBAC的主要组件:
组件 |
Description |
特权 |
通过权限可以启用或拒绝在vSphere中执行操作的访问。 |
角色 |
一个角色包含一个或多个系统权限、其中每个权限定义了对系统中某个对象或某种类型的对象的管理权限。通过为用户分配角色、该用户将继承在该角色中定义的权限的功能。 |
用户和组 |
用户和组也用于从Active Directory (AD)或可能的本地Windows用户/组分配角色的权限(不建议) |
权限 |
通过权限、您可以为用户或组分配权限、以便在vCenter Server中执行某些操作并对对象进行更改。vCenter Server权限仅会影响登录到vCenter Server的用户、而不会影响直接登录到ESXi主机的用户。 |
对象 |
执行操作的实体。VMware vCenter对象包括数据中心、文件夹、资源池、集群、主机、 和VM |
要成功完成任务、您必须具有适当的vCenter Server RBAC角色。执行任务期间、ONTAP工具会先检查用户的vCenter Server角色、然后再检查用户的ONTAP权限。
|
vCenter Server角色适用于ONTAP工具vCenter用户、而不适用于管理员。默认情况下、管理员对产品具有完全访问权限、不需要为其分配角色。 |
用户和组通过加入vCenter Server角色获得对某个角色的访问权限。
有关分配和修改vCenter Server角色的要点
只有在希望限制对vSphere对象和任务的访问时、才需要设置vCenter Server角色。否则,您可以以管理员身份登录。通过此登录,您可以自动访问所有 vSphere 对象。
角色的分配位置决定了用户可以执行的ONTAP工具任务。您可以随时修改一个角色。 如果更改了某个角色中的特权、则与该角色关联的用户应先注销、然后重新登录、以启用更新后的角色。
ONTAP 工具附带的标准角色
为了简化vCenter Server特权和RBAC的使用、ONTAP工具提供了标准ONTAP工具角色、可用于执行关键ONTAP工具任务。此外、还有一个只读角色、可用于查看信息、但不能执行任何任务。
您可以通过单击vSphere Client主页页面上的*角色*来查看ONTAP工具标准角色。通过ONTAP工具提供的角色、您可以执行以下任务:
* 角色 * |
* 问题描述 * |
NetApp ONTAP工具管理员 |
提供执行某些ONTAP工具任务所需的所有本机vCenter Server特权和ONTAP工具专用特权。 |
NetApp ONTAP工具只读 |
提供对ONTAP工具的只读访问权限。这些用户无法执行任何受访问控制的ONTAP工具操作。 |
NetApp ONTAP工具配置 |
提供配置存储所需的一些本机vCenter Server特权和ONTAP工具专用特权。您可以执行以下任务:
|
未向vCenter注册管理器UI管理员角色。此角色特定于管理器UI。
如果公司要求您实施比标准ONTAP工具角色限制性更强的角色、您可以使用ONTAP工具角色创建新角色。
在这种情况下、您可以克隆必要的ONTAP工具角色、然后编辑克隆的角色、使其仅具有用户所需的权限。
ONTAP存储后端和vSphere对象的权限
如果vCenter Server权限足够、则ONTAP工具会检查与存储后端凭据(用户名和密码)关联的ONTAP RBAC特权(您的ONTAP角色)。 确定您是否有足够的权限在该存储后端执行该ONTAP工具任务所需的存储操作。如果您具有正确的ONTAP权限、则可以访问 存储后端并执行ONTAP工具任务。ONTAP角色决定了您可以对存储后端执行的ONTAP工具任务。