Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

管理受保护的操作规则

贡献者
PDF

您可以创建多管理员验证(MAV)规则来指定需要批准的操作。每当启动操作时、受保护的操作都会被截获、并生成批准请求。

任何具有适当RBAC功能的管理员都可以在启用MAV之前创建规则、但启用MAV后、对规则集进行的任何修改都需要获得MAV批准。

每个操作只能创建一个MAV规则;例如、不能创建多个 volume-snapshot-delete 规则。任何所需的规则约束必须包含在一个规则中。

受规则保护的命令

从ONTAP 9.11.1开始、您可以创建规则来保护以下命令。

cluster peer delete

event config modify

security login create

security login delete

security login modify

system node run

system node systemshell

volume delete

volume flexcache delete

volume snapshot autodelete modify

volume snapshot delete

volume snapshot policy add-schedule

volume snapshot policy create

volume snapshot policy delete

volume snapshot policy modify

volume snapshot policy modify-schedule

volume snapshot policy remove-schedule

volume snapshot restore

vserver peer delete

从ONTAP 9.13.1开始、您可以创建规则来保护以下命令:

  • volume snaplock modify

  • security anti-ransomware volume attack clear-suspect

  • security anti-ransomware volume disable

  • security anti-ransomware volume pause

从ONTAP 9.14.1开始、您可以创建规则来保护以下命令:

  • volume recovery-queue modify

  • volume recovery-queue purge

  • volume recovery-queue purge-all

  • vserver modify

MAV system-default命令的规则、即 security multi-admin-verify "命令",无法更改。

除了系统定义的命令之外、在启用多管理员验证时、以下命令也会默认受到保护、但您可以修改规则以取消对这些命令的保护。

  • security login password

  • security login unlock

  • set

规则约束

创建规则时、您可以选择指定 -query 选项、用于将请求限制为命令功能的一部分。。 -query 选项还可用于限制配置元素、例如SVM、卷和Snapshot名称。

例如、在中 volume snapshot delete 命令、 -query 可以设置为 `-snapshot !hourly*,!daily*,!weekly*`表示以每小时、每天或每周属性为前处理前的卷快照不受MAV保护。

smci-vsim20::> security multi-admin-verify rule show
                                               Required  Approval
Vserver Operation                              Approvers Groups
------- -------------------------------------- --------- -------------
vs01    volume snapshot delete                 -         -
          Query: -snapshot !hourly*,!daily*,!weekly*
备注 任何排除的配置元素都不受MAV保护、任何管理员都可以删除或重命名它们。

默认情况下、规则指定对应的 security multi-admin-verify request create “protected_operation” 输入受保护的操作时、系统会自动生成命令。您可以将此默认值修改为需要 request create 命令单独输入。

默认情况下、规则会继承以下全局MAV设置、但您可以指定特定于规则的例外情况:

  • 所需数量的批准者

  • 批准组

  • 批准到期期限

  • 执行到期期限

System Manager 操作步骤

如果要首次添加受保护的操作规则、请参见System Manager操作步骤 to "启用多管理员验证。"

要修改现有规则集、请执行以下操作:

  1. 选择*集群>设置*。

  2. 选择 …​ 齿轮图标 在*安全性*部分中的*多管理员批准*旁边。

  3. 选择 …​ 添加图标 至少添加一个规则;您还可以修改或删除现有规则。

    • 操作—从列表中选择受支持的命令。

    • 查询—输入任何所需的命令选项和值。

    • 可选参数—留空以应用全局设置、或者为特定规则分配其他值以覆盖全局设置。

      • 所需数量的审批者

      • 批准组

命令行界面操作步骤

备注 全部 security multi-admin-verify rule 命令执行前需要MAV管理员批准、但除外 security multi-admin-verify rule show
如果要… 输入此命令

创建规则

security multi-admin-verify rule create -operation “protected_operation” [-query operation_subset] [parameters]

修改当前管理员的凭据

security login modify <parameters>

示例:要删除根卷、需要获得以下规则的批准。

security multi-admin-verify rule create -operation "volume delete" -query "-vserver vs0"

修改规则

security multi-admin-verify rule modify -operation “protected_operation” [parameters]

删除规则

security multi-admin-verify rule delete -operation “protected_operation”

显示规则

security multi-admin-verify rule show

有关命令语法的详细信息、请参见 security multi-admin-verify rule 手册页。