简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

管理受保护的操作规则

05/17/2024 贡献者

PDF

您可以创建多管理员验证(MAV)规则来指定需要批准的操作。每当启动操作时、受保护的操作都会被截获、并生成批准请求。

任何具有适当RBAC功能的管理员都可以在启用MAV之前创建规则、但启用MAV后、对规则集进行的任何修改都需要获得MAV批准。

每个操作只能创建一个MAV规则；例如、不能创建多个 volume-snapshot-delete 规则。任何所需的规则约束必须包含在一个规则中。

您可以创建要保护的规则 "这些命令"。您可以从最初提供命令保护功能的ONTAP版本开始保护每个命令。

MAV system-default命令的规则、即 security multi-admin-verify "命令"，无法更改。

默认情况下、除了系统定义的操作之外、启用多管理员验证时、以下命令也会受到保护、但您可以修改规则以删除对这些命令的保护。

security login password
security login unlock
set

规则约束

创建规则时、您可以选择指定 -query 选项、用于将请求限制为命令功能的一部分。。 -query 选项还可用于限制配置元素、例如SVM、卷和Snapshot名称。

例如、在中 volume snapshot delete 命令、 -query 可以设置为 `-snapshot !hourly*,!daily*,!weekly*`表示以每小时、每天或每周属性为前处理前的卷快照不受MAV保护。

smci-vsim20::> security multi-admin-verify rule show
                                               Required  Approval
Vserver Operation                              Approvers Groups
------- -------------------------------------- --------- -------------
vs01    volume snapshot delete                 -         -
          Query: -snapshot !hourly*,!daily*,!weekly*

任何排除的配置元素都不受MAV保护、任何管理员都可以删除或重命名它们。

默认情况下、规则指定对应的 security multi-admin-verify request create “protected_operation” 输入受保护的操作时、系统会自动生成命令。您可以将此默认值修改为需要 request create 命令单独输入。

默认情况下、规则会继承以下全局MAV设置、但您可以指定特定于规则的例外情况：

所需数量的批准者
批准组
批准到期期限
执行到期期限

System Manager 操作步骤

如果要首次添加受保护的操作规则、请参见System Manager操作步骤 to "启用多管理员验证。"

要修改现有规则集、请执行以下操作：

选择*集群>设置*。
选择 … 在*安全性*部分中的*多管理员批准*旁边。
选择 … 至少添加一个规则；您还可以修改或删除现有规则。
- 操作—从列表中选择受支持的命令。
- 查询—输入任何所需的命令选项和值。
- 可选参数—留空以应用全局设置、或者为特定规则分配其他值以覆盖全局设置。
  - 所需数量的审批者
  - 批准组

命令行界面操作步骤

全部 security multi-admin-verify rule 命令执行前需要MAV管理员批准、但除外 security multi-admin-verify rule show。

如果要… 输入此命令

如果要…	输入此命令
创建规则	`security multi-admin-verify rule create -operation “protected_operation” [-query operation_subset] [parameters]`
修改当前管理员的凭据	`security login modify <parameters>` 示例：要删除根卷、需要获得以下规则的批准。 `security multi-admin-verify rule create -operation "volume delete" -query "-vserver vs0"`
修改规则	`security multi-admin-verify rule modify -operation “protected_operation” [parameters]`
删除规则	`security multi-admin-verify rule delete -operation “protected_operation”`
显示规则	`security multi-admin-verify rule show`

创建规则

security multi-admin-verify rule create -operation “protected_operation” [-query operation_subset] [parameters]

修改当前管理员的凭据

security login modify <parameters>

示例：要删除根卷、需要获得以下规则的批准。

security multi-admin-verify rule create -operation "volume delete" -query "-vserver vs0"

修改规则

security multi-admin-verify rule modify -operation “protected_operation” [parameters]

删除规则

security multi-admin-verify rule delete -operation “protected_operation”

显示规则

security multi-admin-verify rule show

有关命令语法的详细信息、请参见 security multi-admin-verify rule 手册页。

管理受保护的操作规则

Creating your file...

规则约束

System Manager 操作步骤

命令行界面操作步骤