通过文件系统分析实现基于角色的访问控制
建议更改
PDF
从ONTAP 9.12.1开始、ONTAP 包括一个预定义的基于角色的访问控制(Role-Based Access Control、RBAC)角色、称为 admin-no-fsa。。 admin-no-fsa 角色授予管理员级别的权限、但会阻止用户执行与相关的操作 files ONTAP 命令行界面、REST API和System Manager中的端点(即文件系统分析)。
有关的详细信息、请参见 admin-no-fsa 角色、请参见 集群管理员的预定义角色。
如果您使用的是ONTAP 9.12.1之前发布的ONTAP 版本、则需要创建一个专用角色来控制对文件系统分析的访问。在ONTAP 9.12.1之前的ONTAP 版本中、您必须通过ONTAP 命令行界面或ONTAP REST API配置RBAC权限。
从ONTAP 9.12.1开始、您可以使用System Manager为文件系统分析配置RBAC权限。
-
选择*集群>设置*。在*安全性*下,导航至*用户和角色*,然后选择
。 -
在*roles*下,选择
。 -
请为此角色提供一个名称。在角色属性下、通过提供相应的来配置用户角色的访问或限制 "API端点"。请参见下表、了解用于配置文件系统分析访问或限制的主路径和二级路径。
限制 主路径 二级路径 卷上的活动跟踪
/api/storage/volumes-
/:uuid/top-metrics/directories -
/:uuid/top-metrics/files -
/:uuid/top-metrics/clients -
/:uuid/top-metrics/users
SVM上的活动跟踪
/api/svm/svms-
/:uuid/top-metrics/directories -
/:uuid/top-metrics/files -
/:uuid/top-metrics/clients -
/:uuid/top-metrics/users
所有文件系统分析操作
/api/storage/volumes/:uuid/files您可以使用
/*/而不是使用UUID为端点的所有卷或SVM设置策略。选择每个端点的访问权限。
-
-
选择 * 保存 * 。
-
要将角色分配给一个或多个用户、请参见 控制管理员访问。
如果您使用的是ONTAP 9.12.1之前发布的ONTAP 版本、请使用ONTAP 命令行界面创建自定义角色。
-
创建一个默认角色以访问所有功能。
在创建限制性角色之前需要执行此操作,以确保此角色仅对活动跟踪具有限制性:
security login role create -cmddirname DEFAULT -access all -role storageAdmin -
创建限制性角色:
security login role create -cmddirname "volume file show-disk-usage" -access none -role storageAdmin -
授权角色访问 SVM 的 Web 服务:
-
rest用于REST API调用 -
security用于密码保护 -
sysmgr用于访问System Managervserver services web access create -vserver svm-name -name_ -name rest -role storageAdminvserver services web access create -vserver svm-name -name security -role storageAdmin
vserver services web access create -vserver svm-name -name sysmgr -role storageAdmin -
-
创建用户。
您必须为要应用于用户的每个应用程序问题描述 一个不同的 create 命令。在同一用户上多次调用 create 只会将所有应用程序应用于该用户,而不会每次创建新用户。。
http应用程序类型的参数适用于ONTAP REST API和System Manager。security login create -user-or-group-name storageUser -authentication-method password -application http -role storageAdmin -
现在、您可以使用新的用户凭据登录到System Manager或使用ONTAP REST API访问文件系统分析数据。