管理受保护的操作规则
建议更改
PDF
您可以创建多管理员验证(MAV)规则来指定需要批准的操作。每当启动操作时、受保护的操作都会被截获、并生成批准请求。
任何具有适当RBAC功能的管理员都可以在启用MAV之前创建规则、但启用MAV后、对规则集进行的任何修改都需要获得MAV批准。
每个操作只能创建一个MAV规则;例如、不能创建多个 volume-snapshot-delete 规则。任何所需的规则约束必须包含在一个规则中。
您可以创建要保护的规则 "这些命令"。您可以从最初提供命令保护功能的ONTAP版本开始保护每个命令。
MAV system-default命令的规则、即 security multi-admin-verify "命令",无法更改。
默认情况下、除了系统定义的操作之外、启用多管理员验证时、以下命令也会受到保护、但您可以修改规则以删除对这些命令的保护。
-
security login password -
security login unlock -
set
规则约束
创建规则时、您可以选择指定 -query 选项、用于将请求限制为命令功能的一部分。。 -query 选项还可用于限制配置元素、例如SVM、卷和Snapshot名称。
例如、在中 volume snapshot delete 命令、 -query 可以设置为 `-snapshot !hourly*,!daily*,!weekly*`表示以每小时、每天或每周属性为前处理前的卷快照不受MAV保护。
smci-vsim20::> security multi-admin-verify rule show
Required Approval
Vserver Operation Approvers Groups
------- -------------------------------------- --------- -------------
vs01 volume snapshot delete - -
Query: -snapshot !hourly*,!daily*,!weekly*
|
任何排除的配置元素都不受MAV保护、任何管理员都可以删除或重命名它们。 |
默认情况下、规则指定对应的 security multi-admin-verify request create “protected_operation” 输入受保护的操作时、系统会自动生成命令。您可以将此默认值修改为需要 request create 命令单独输入。
默认情况下、规则会继承以下全局MAV设置、但您可以指定特定于规则的例外情况:
-
所需数量的批准者
-
批准组
-
批准到期期限
-
执行到期期限
System Manager 操作步骤
如果要首次添加受保护的操作规则、请参见System Manager操作步骤 to "启用多管理员验证。"
要修改现有规则集、请执行以下操作:
-
选择*集群>设置*。
-
在*安全性*部分中选择
*多管理员批准*旁边的。 -
选择
此项可至少添加一个规则;您也可以修改或删除现有规则。-
操作—从列表中选择受支持的命令。
-
查询—输入任何所需的命令选项和值。
-
可选参数—留空以应用全局设置、或者为特定规则分配其他值以覆盖全局设置。
-
所需数量的审批者
-
批准组
-
-
命令行界面操作步骤
|
|
全部 security multi-admin-verify rule 命令执行前需要MAV管理员批准、但除外 security multi-admin-verify rule show。
|
| 如果要… | 输入此命令 |
|---|---|
创建规则 |
|
修改当前管理员的凭据 |
示例:要删除根卷、需要获得以下规则的批准。
|
修改规则 |
|
删除规则 |
|
显示规则 |
|
有关命令语法的详细信息、请参见 security multi-admin-verify rule 手册页。