Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

管理受保护的操作规则

贡献者

您可以创建多管理员验证(MAV)规则来指定需要批准的操作。每当启动操作时、受保护的操作都会被截获、并生成批准请求。

任何具有适当RBAC功能的管理员都可以在启用MAV之前创建规则、但启用MAV后、对规则集进行的任何修改都需要获得MAV批准。

每个操作只能创建一个MAV规则;例如、不能创建多个 volume-snapshot-delete 规则。任何所需的规则约束必须包含在一个规则中。

您可以创建要保护的规则 "这些命令"。您可以从最初提供命令保护功能的ONTAP版本开始保护每个命令。

MAV system-default命令的规则、即 security multi-admin-verify "命令",无法更改。

默认情况下、除了系统定义的操作之外、启用多管理员验证时、以下命令也会受到保护、但您可以修改规则以删除对这些命令的保护。

  • security login password

  • security login unlock

  • set

规则约束

创建规则时、您可以选择指定 -query 选项、用于将请求限制为命令功能的一部分。。 -query 选项还可用于限制配置元素、例如SVM、卷和Snapshot名称。

例如、在中 volume snapshot delete 命令、 -query 可以设置为 `-snapshot !hourly*,!daily*,!weekly*`表示以每小时、每天或每周属性为前处理前的卷快照不受MAV保护。

smci-vsim20::> security multi-admin-verify rule show
                                               Required  Approval
Vserver Operation                              Approvers Groups
------- -------------------------------------- --------- -------------
vs01    volume snapshot delete                 -         -
          Query: -snapshot !hourly*,!daily*,!weekly*
备注 任何排除的配置元素都不受MAV保护、任何管理员都可以删除或重命名它们。

默认情况下、规则指定对应的 security multi-admin-verify request create “protected_operation” 输入受保护的操作时、系统会自动生成命令。您可以将此默认值修改为需要 request create 命令单独输入。

默认情况下、规则会继承以下全局MAV设置、但您可以指定特定于规则的例外情况:

  • 所需数量的批准者

  • 批准组

  • 批准到期期限

  • 执行到期期限

System Manager 操作步骤

如果要首次添加受保护的操作规则、请参见System Manager操作步骤 to "启用多管理员验证。"

要修改现有规则集、请执行以下操作:

  1. 选择*集群>设置*。

  2. 在*安全性*部分中选择 操作图标 *多管理员批准*旁边的。

  3. 选择 添加图标 此项可至少添加一个规则;您也可以修改或删除现有规则。

    • 操作—从列表中选择受支持的命令。

    • 查询—输入任何所需的命令选项和值。

    • 可选参数—留空以应用全局设置、或者为特定规则分配其他值以覆盖全局设置。

      • 所需数量的审批者

      • 批准组

命令行界面操作步骤

备注 全部 security multi-admin-verify rule 命令执行前需要MAV管理员批准、但除外 security multi-admin-verify rule show
如果要… 输入此命令

创建规则

security multi-admin-verify rule create -operation “protected_operation” [-query operation_subset] [parameters]

修改当前管理员的凭据

security login modify <parameters>

示例:要删除根卷、需要获得以下规则的批准。

security multi-admin-verify rule create -operation "volume delete" -query "-vserver vs0"

修改规则

security multi-admin-verify rule modify -operation “protected_operation” [parameters]

删除规则

security multi-admin-verify rule delete -operation “protected_operation”

显示规则

security multi-admin-verify rule show

有关命令语法的详细信息、请参见 security multi-admin-verify rule 手册页。