管理受保护的操作规则
-
本文档站点的 PDF
- NAS 存储管理
单独 PDF 文档的收集
Creating your file...
您可以创建多管理员验证(MAV)规则来指定需要批准的操作。每当启动操作时、受保护的操作都会被截获、并生成批准请求。
任何具有适当RBAC功能的管理员都可以在启用MAV之前创建规则、但启用MAV后、对规则集进行的任何修改都需要获得MAV批准。
每个操作只能创建一个MAV规则;例如、不能创建多个 volume-snapshot-delete
规则。任何所需的规则约束必须包含在一个规则中。
受规则保护的命令
从ONTAP 9.11.1开始、您可以创建规则来保护以下命令。
|
|
从ONTAP 9.13.1开始、您可以创建规则来保护以下命令:
-
volume snaplock modify
-
security anti-ransomware volume attack clear-suspect
-
security anti-ransomware volume disable
-
security anti-ransomware volume pause
从ONTAP 9.14.1开始、您可以创建规则来保护以下命令:
-
volume recovery-queue modify
-
volume recovery-queue purge
-
volume recovery-queue purge-all
-
vserver modify
MAV system-default命令的规则、即 security multi-admin-verify
"命令",无法更改。
除了系统定义的命令之外、在启用多管理员验证时、以下命令也会默认受到保护、但您可以修改规则以取消对这些命令的保护。
-
security login password
-
security login unlock
-
set
规则约束
创建规则时、您可以选择指定 -query
选项、用于将请求限制为命令功能的一部分。。 -query
选项还可用于限制配置元素、例如SVM、卷和Snapshot名称。
例如、在中 volume snapshot delete
命令、 -query
可以设置为 `-snapshot !hourly*,!daily*,!weekly*`表示以每小时、每天或每周属性为前处理前的卷快照不受MAV保护。
smci-vsim20::> security multi-admin-verify rule show Required Approval Vserver Operation Approvers Groups ------- -------------------------------------- --------- ------------- vs01 volume snapshot delete - - Query: -snapshot !hourly*,!daily*,!weekly*
任何排除的配置元素都不受MAV保护、任何管理员都可以删除或重命名它们。 |
默认情况下、规则指定对应的 security multi-admin-verify request create “protected_operation”
输入受保护的操作时、系统会自动生成命令。您可以将此默认值修改为需要 request create
命令单独输入。
默认情况下、规则会继承以下全局MAV设置、但您可以指定特定于规则的例外情况:
-
所需数量的批准者
-
批准组
-
批准到期期限
-
执行到期期限
System Manager 操作步骤
如果要首次添加受保护的操作规则、请参见System Manager操作步骤 to "启用多管理员验证。"
要修改现有规则集、请执行以下操作:
-
选择*集群>设置*。
-
选择 … 在*安全性*部分中的*多管理员批准*旁边。
-
选择 … 至少添加一个规则;您还可以修改或删除现有规则。
-
操作—从列表中选择受支持的命令。
-
查询—输入任何所需的命令选项和值。
-
可选参数—留空以应用全局设置、或者为特定规则分配其他值以覆盖全局设置。
-
所需数量的审批者
-
批准组
-
-
命令行界面操作步骤
全部 security multi-admin-verify rule 命令执行前需要MAV管理员批准、但除外 security multi-admin-verify rule show 。
|
如果要… | 输入此命令 |
---|---|
创建规则 |
|
修改当前管理员的凭据 |
示例:要删除根卷、需要获得以下规则的批准。
|
修改规则 |
|
删除规则 |
|
显示规则 |
|
有关命令语法的详细信息、请参见 security multi-admin-verify rule
手册页。