SnapCenter中基于角色的访问控制
建议更改
PDF
SnapCenter基于角色的访问控制 (RBAC) 和ONTAP权限使SnapCenter管理员能够将SnapCenter资源的控制权委托给不同的用户或用户组。这种集中管理的访问使应用程序管理员能够在委派的环境中安全地工作。
您可以随时创建和修改角色,并为用户添加资源访问权限。但是,首次设置SnapCenter时,至少应将 Active Directory 用户或组添加到角色,然后向这些用户或组添加资源访问权限。
|
您不能使用SnapCenter创建用户或组帐户。您应该在操作系统或数据库的 Active Directory 中创建用户或组帐户。 |
SnapCenter中的 RBAC 类型
SnapCenter使用以下类型的基于角色的访问控制:
-
SnapCenter RBAC
-
应用程序级 RBAC
-
适用于 VMware vSphere RBAC 的SnapCenter插件
-
ONTAP 权限
SnapCenter RBAC
SnapCenter具有预定义的角色,您可以将用户或用户组分配给这些角色。预定义的角色是:
-
SnapCenter管理员角色
-
应用程序备份和克隆管理员角色
-
备份和克隆查看器角色
-
基础设施管理员角色
当您为用户分配角色时,除非您分配了 SnapCenterAdmin 角色,否则只有与该用户相关的作业才会显示在“作业”页面中。
您还可以创建新角色并管理权限和用户。您可以为用户或组分配权限以访问SnapCenter对象,例如主机、存储连接和资源组。
您可以将 RBAC 权限分配给同一林内的用户和组以及属于不同林的用户。您不能将 RBAC 权限分配给属于跨林嵌套组的用户。
|
|
如果创建自定义角色,它必须包含 SnapCenterAdmin 角色的所有权限。如果您仅复制部分权限,例如添加主机或删除主机,则无法执行这些操作。 |
用户需要在登录时通过图形用户界面 (GUI) 或使用 PowerShell cmdlet 提供身份验证。如果用户是多个角色的成员,则在输入登录凭据后,系统会提示他们指定要使用的角色。用户还需要提供身份验证才能运行 API。
应用程序级 RBAC
SnapCenter使用凭据来验证授权的SnapCenter用户是否也具有应用程序级权限。
例如,如果您想在 SQL Server 环境中执行数据保护操作,则必须使用正确的 Windows 或 SQL 凭据设置凭据。 SnapCenter服务器使用任一方法对设置的凭据进行身份验证。如果要在ONTAP存储上的 Windows 文件系统环境中执行数据保护操作, SnapCenter管理员角色必须在 Windows 主机上具有管理员权限。
同样,如果您想在 Oracle 数据库上执行数据保护操作,并且如果数据库主机中禁用了操作系统 (OS) 身份验证,则必须使用 Oracle 数据库或 Oracle ASM 凭据设置凭据。SnapCenter服务器根据操作使用其中一种方法对设置的凭据进行身份验证。
SnapCenter Plug-in for VMware vSphere
如果您使用SnapCenter VMware 插件进行虚拟机一致的数据保护,则 vCenter Server 会提供额外级别的 RBAC。 SnapCenter VMware 插件支持 vCenter Server RBAC 和ONTAP RBAC。 "了解更多"
最佳实践: NetApp建议您为SnapCenter Plug-in for VMware vSphere创建一个ONTAP角色,并为其分配所有必需的权限。 |
ONTAP 权限
您应该创建具有访问存储系统所需权限的 vsadmin 帐户。"了解更多"
分配给预定义SnapCenter角色的权限
将用户添加到角色时,您必须分配 StorageConnection 权限以启用存储虚拟机 (SVM) 通信,或者为用户分配 SVM 以启用使用 SVM 的权限。存储连接权限使用户能够创建 SVM 连接。
例如,具有SnapCenter管理员角色的用户可以创建 SVM 连接并将其分配给具有应用程序备份和克隆管理员角色的用户,而该用户默认情况下没有创建或编辑 SVM 连接的权限。如果没有 SVM 连接,用户就无法完成任何备份、克隆或恢复操作。
SnapCenter管理员角色
SnapCenter管理员角色已启用所有权限。您不能修改此角色的权限。您可以将用户和组添加到角色或将其删除。
应用程序备份和克隆管理员角色
应用程序备份和克隆管理员角色具有执行应用程序备份和克隆相关任务的管理操作所需的权限。此角色没有主机管理、配置、存储连接管理或远程安装的权限。
| 权限 | 已启用 | 创建 | 读取 | 更新 | 删除 |
|---|---|---|---|---|---|
资源组 |
不适用 |
是 |
是 |
是 |
是 |
策略 |
不适用 |
是 |
是 |
是 |
是 |
备份 |
不适用 |
是 |
是 |
是 |
是 |
主机 |
不适用 |
是 |
是 |
是 |
是 |
存储连接 |
不适用 |
否 |
是 |
否 |
否 |
克隆 |
不适用 |
是 |
是 |
是 |
是 |
配置 |
不适用 |
否 |
是 |
否 |
否 |
信息板 |
是 |
不适用 |
不适用 |
不适用 |
不适用 |
报告 |
是 |
不适用 |
不适用 |
不适用 |
不适用 |
还原 |
是 |
不适用 |
不适用 |
不适用 |
不适用 |
资源 |
是 |
是 |
是 |
是 |
是 |
插件安装/卸载 |
否 |
不适用 |
不适用 |
不适用 |
|
迁移 |
否 |
不适用 |
不适用 |
不适用 |
不适用 |
挂载 |
是 |
是 |
不适用 |
不适用 |
不适用 |
卸载 |
是 |
是 |
不适用 |
不适用 |
不适用 |
全卷还原 |
否 |
否 |
不适用 |
不适用 |
不适用 |
二级保护 |
否 |
否 |
不适用 |
不适用 |
不适用 |
作业监视器 |
是 |
不适用 |
不适用 |
不适用 |
不适用 |
备份和克隆查看器角色
备份和克隆查看者角色具有所有权限的只读查看。此角色还具有发现、报告和访问仪表板的权限。
| 权限 | 已启用 | 创建 | 读取 | 更新 | 删除 |
|---|---|---|---|---|---|
资源组 |
不适用 |
否 |
是 |
否 |
否 |
策略 |
不适用 |
否 |
是 |
否 |
否 |
备份 |
不适用 |
否 |
是 |
否 |
否 |
主机 |
不适用 |
否 |
是 |
否 |
否 |
存储连接 |
不适用 |
否 |
是 |
否 |
否 |
克隆 |
不适用 |
否 |
是 |
否 |
否 |
配置 |
不适用 |
否 |
是 |
否 |
否 |
信息板 |
是 |
不适用 |
不适用 |
不适用 |
不适用 |
报告 |
是 |
不适用 |
不适用 |
不适用 |
不适用 |
还原 |
否 |
否 |
不适用 |
不适用 |
不适用 |
资源 |
否 |
否 |
是 |
是 |
否 |
插件安装/卸载 |
否 |
不适用 |
不适用 |
不适用 |
不适用 |
迁移 |
否 |
不适用 |
不适用 |
不适用 |
不适用 |
挂载 |
是 |
不适用 |
不适用 |
不适用 |
不适用 |
卸载 |
是 |
不适用 |
不适用 |
不适用 |
不适用 |
全卷还原 |
否 |
不适用 |
不适用 |
不适用 |
不适用 |
二级保护 |
否 |
不适用 |
不适用 |
不适用 |
不适用 |
作业监视器 |
是 |
不适用 |
不适用 |
不适用 |
不适用 |
基础设施管理员角色
基础设施管理员角色具有主机管理、存储管理、配置、资源组、远程安装报告和仪表板访问的权限。
| 权限 | 已启用 | 创建 | 读取 | 更新 | 删除 |
|---|---|---|---|---|---|
资源组 |
不适用 |
是 |
是 |
是 |
是 |
策略 |
不适用 |
否 |
是 |
是 |
是 |
备份 |
不适用 |
是 |
是 |
是 |
是 |
主机 |
不适用 |
是 |
是 |
是 |
是 |
存储连接 |
不适用 |
是 |
是 |
是 |
是 |
克隆 |
不适用 |
否 |
是 |
否 |
否 |
配置 |
不适用 |
是 |
是 |
是 |
是 |
信息板 |
是 |
不适用 |
不适用 |
不适用 |
不适用 |
报告 |
是 |
不适用 |
不适用 |
不适用 |
不适用 |
还原 |
是 |
不适用 |
不适用 |
不适用 |
不适用 |
资源 |
是 |
是 |
是 |
是 |
是 |
插件安装/卸载 |
是 |
不适用 |
不适用 |
不适用 |
不适用 |
迁移 |
否 |
不适用 |
不适用 |
不适用 |
不适用 |
挂载 |
否 |
不适用 |
不适用 |
不适用 |
不适用 |
卸载 |
否 |
不适用 |
不适用 |
不适用 |
不适用 |
全卷还原 |
否 |
否 |
不适用 |
不适用 |
不适用 |
二级保护 |
否 |
否 |
不适用 |
不适用 |
不适用 |
作业监视器 |
是 |
不适用 |
不适用 |
不适用 |
不适用 |