Skip to main content
ONTAP tools for VMware vSphere 9.13
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

ONTAP 存储系统和 vSphere 对象的权限

贡献者

通过 ONTAP 基于角色的访问控制( Role-Based Access Control , RBAC ),您可以控制对特定存储系统的访问,并控制用户可以对这些存储系统执行的操作。在适用于VMware vSphere的ONTAP®工具中,ONTAP RBAC与vCenter Server RBAC结合使用,以确定特定用户可以对特定存储系统上的对象执行哪些ONTAP工具任务。

ONTAP工具使用您在ONTAP工具中设置的凭据(用户名和密码)来对每个存储系统进行身份验证、并确定可对该存储系统执行的存储操作。ONTAP工具会为每个存储系统使用一组凭据。这些凭据决定了可在该存储系统上执行的ONTAP工具任务;换言之、这些凭据用于ONTAP工具、而不是单个ONTAP工具用户。

ONTAP RBAC仅适用于访问存储系统以及执行与存储相关的ONTAP工具任务(例如配置虚拟机)。如果您对特定存储系统没有适当的 ONTAP RBAC 特权,则无法对该存储系统上托管的 vSphere 对象执行任何任务。您可以将ONTAP RBAC与ONTAP工具专用特权结合使用来控制用户可以执行的ONTAP工具任务:

  • 监控和配置存储系统上的存储或 vCenter Server 对象

  • 配置存储系统上的 vSphere 对象

将ONTAP RBAC与ONTAP工具专用的特权结合使用、可提供一个面向存储的安全层、存储管理员可以对其进行管理。因此,与单独的 ONTAP RBAC 或单独的 vCenter Server RBAC 相比,您可以更精细地控制访问。例如,使用 vCenter Server RBAC 时,您可以允许 vCenterUserB 在 NetApp 存储上配置数据存储库,同时防止 vCenterUserA 配置数据存储库。如果特定存储系统的存储系统凭据不支持创建存储,则 vCenterUserB 和 vCenterUserA 都无法在该存储系统上配置数据存储库。

启动ONTAP工具任务时、ONTAP工具会首先验证您是否具有执行此任务的正确vCenter Server权限。如果vCenter Server权限不足以执行此任务、则ONTAP工具无需检查该存储系统的ONTAP特权、因为您未通过初始vCenter Server安全检查。因此,您无法访问存储系统。

如果vCenter Server权限足够、则ONTAP工具会检查与存储系统凭据(用户名和密码)关联的ONTAP RBAC特权(您的ONTAP角色)。 确定您是否有足够的权限在该存储系统上执行该ONTAP工具任务所需的存储操作。如果您具有正确的ONTAP权限、则可以访问存储系统并执行ONTAP工具任务。ONTAP角色决定了您可以对存储系统执行的ONTAP工具任务。

每个存储系统都有一组关联的 ONTAP 特权。

同时使用 ONTAP RBAC 和 vCenter Server RBAC 具有以下优势:

  • 安全性

    管理员可以控制哪些用户可以在细化的 vCenter Server 对象级别和存储系统级别执行哪些任务。

  • 审核信息

    在许多情况下、ONTAP工具会在存储系统上提供审核跟踪、使您能够将事件追溯到执行存储修改的vCenter Server用户。

  • 可用性

    您可以在一个位置维护所有控制器凭据。

使用适用于 VMware vSphere 的 ONTAP 工具时的建议 ONTAP 角色

您可以设置多个建议的 ONTAP 角色,以便使用适用于 VMware vSphere 的 ONTAP ® 工具和基于角色的访问控制( Role-Based Access Control , RBAC )。这些角色包含执行ONTAP工具任务所需的存储操作所需的ONTAP特权。

要创建新的用户角色,您必须以管理员身份登录到运行 ONTAP 的存储系统。您可以使用ONTAP System Manager 9.8P1或更高版本创建ONTAP 角色。请参见 "配置用户角色和权限" 有关详细信息 …​

每个 ONTAP 角色都有一个关联的用户名和密码对,这两个用户名和密码对构成了该角色的凭据。如果不使用这些凭据登录,则无法访问与此角色关联的存储操作。

作为一项安全措施、ONTAP工具专用的ONTAP角色按分层结构进行排序。这意味着、第一个角色的限制性最强、它只具有与一组最基本的ONTAP工具存储操作关联的特权。下一个角色既包括自己的特权,也包括与上一个角色关联的所有特权。对于支持的存储操作,每个附加角色的限制性都较低。

下面列出了一些使用ONTAP工具时建议使用的ONTAP RBAC角色。创建这些角色后,您可以将这些角色分配给必须执行与存储相关的任务的用户,例如配置虚拟机。

  1. 发现

    通过此角色,您可以添加存储系统。

  2. 创建存储

    使用此角色可以创建存储。此角色还包括与发现角色关联的所有特权。

  3. 修改存储

    使用此角色可以修改存储。此角色还包括与发现角色和创建存储角色关联的所有特权。

  4. 销毁存储

    使用此角色可以销毁存储。此角色还包括与发现角色,创建存储角色和修改存储角色关联的所有特权。

如果您使用的是适用于 ONTAP 的 VASA Provider ,则还应设置基于策略的管理( Policy-Based Management , PBM )角色。通过此角色,您可以使用存储策略管理存储。此角色还要求您设置 Discovery 角色。