SnapCenter中基于角色的访问控制
SnapCenter基于角色的访问控制 (RBAC) 和ONTAP权限允许SnapCenter管理员向用户或组分配资源访问权限。这种集中管理的访问使应用程序管理员能够在指定环境中安全地工作。
您应该创建或修改角色并为用户添加资源访问权限。首次设置SnapCenter时,将 Active Directory 用户或组添加到角色并将资源分配给这些用户或组。
|
SnapCenter不会创建用户或组帐户。在操作系统或数据库的 Active Directory 中创建用户或组帐户。 |
SnapCenter中的RBAC类型
SnapCenter支持以下类型的基于角色的访问控制:
-
SnapCenter RBAC
-
应用程序级 RBAC
-
适用于VMware vSphere RBAC的SnapCenter插件
-
ONTAP 权限
SnapCenter RBAC
SnapCenter具有预定义的角色,您可以将用户或组分配给这些角色。
-
SnapCenter 管理员角色
-
应用程序备份和克隆管理员角色
-
备份和克隆查看器角色
-
基础架构管理员角色
当您为用户分配角色时, SnapCenter会在“作业”页面上显示与该用户相关的作业,除非该用户具有 SnapCenterAdmin 角色。
您还可以创建新角色并管理权限和用户。您可以为用户或组分配访问主机,存储连接和资源组等 SnapCenter 对象的权限。
您可以为同一林中的用户和组以及属于不同林的用户分配 RBAC 权限。您不能为属于林间嵌套组的用户分配 RBAC 权限。
|
创建自定义角色时,请确保它包含 SnapCenterAdmin 角色的所有权限。如果您仅复制部分权限, SnapCenter将阻止您执行所有操作。 |
用户通过用户界面或 PowerShell cmdlet 登录时必须进行身份验证。如果用户有多个角色,则登录后选择一个角色。运行 API 也需要身份验证。
应用程序级 RBAC
SnapCenter 使用凭据验证授权的 SnapCenter 用户是否也具有应用程序级别的权限。
例如,要在 SQL Server 环境中执行数据保护操作,请设置正确的 Windows 或 SQL 凭据。如果要在ONTAP存储上的 Windows 文件系统环境中执行数据保护操作, SnapCenter管理员角色必须在 Windows 主机上具有管理员权限。
同样,如果您想在 Oracle 数据库上执行数据保护操作,并且如果数据库主机上禁用了操作系统 (OS) 身份验证,则必须使用 Oracle 数据库或 Oracle ASM 凭据设置凭据。 SnapCenter服务器根据操作使用其中一种方法对设置的凭据进行身份验证。
适用于 VMware vSphere RBAC 的 SnapCenter 插件
如果您使用 SnapCenter VMware 插件进行 VM 一致的数据保护,则 vCenter Server 可提供额外级别的 RBAC 。SnapCenter VMware插件支持vCenter Server RBAC和ONTAP RBAC。 "了解更多信息"
注意: NetApp建议您为SnapCenter Plug-in for VMware vSphere创建一个ONTAP角色,并为其分配所有必需的权限。
ONTAP 权限
您应该创建具有访问存储系统所需权限的 vsadmin 帐户。"了解更多信息"
分配给预定义SnapCenter角色的权限
将用户添加到角色时,分配 StorageConnection 权限以启用存储虚拟机 (SVM) 通信,或者将 SVM 分配给用户以授予使用 SVM 的权限。存储连接权限允许用户创建 SVM 连接。
例如, SnapCenter管理员可以创建 SVM 连接并将其分配给 App Backup 和 Clone Admin 用户,而这些用户无法创建或编辑 SVM 连接。如果没有 SVM 连接,用户就无法执行备份、克隆或恢复操作。
SnapCenter 管理员角色
SnapCenter 管理员角色已启用所有权限。您不能修改此角色的权限。您可以将用户和组添加到角色或将其删除。
应用程序备份和克隆管理员角色
应用程序备份和克隆管理员角色具有为应用程序备份和克隆相关任务执行管理操作所需的权限。此角色不具有主机管理,配置,存储连接管理或远程安装的权限。
权限 | enabled | 创建 | 读取 | 更新 | 删除 |
---|---|---|---|---|---|
Resource Group |
不适用 |
是的。 |
是的。 |
是的。 |
是的。 |
策略 |
不适用 |
是的。 |
是的。 |
是的。 |
是的。 |
备份 |
不适用 |
是的。 |
是的。 |
是的。 |
是的。 |
主机 |
不适用 |
是的。 |
是的。 |
是的。 |
是的。 |
存储连接 |
不适用 |
否 |
是的。 |
否 |
否 |
克隆 |
不适用 |
是的。 |
是的。 |
是的。 |
是的。 |
配置 |
不适用 |
否 |
是的。 |
否 |
否 |
信息板 |
是的。 |
不适用 |
不适用 |
不适用 |
不适用 |
报告 |
是的。 |
不适用 |
不适用 |
不适用 |
不适用 |
还原 |
是的。 |
不适用 |
不适用 |
不适用 |
不适用 |
资源 |
是的。 |
是的。 |
是的。 |
是的。 |
是的。 |
插件安装 / 卸载 |
否 |
不适用 |
不适用 |
不适用 |
|
migration |
否 |
不适用 |
不适用 |
不适用 |
不适用 |
挂载 |
是的。 |
是的。 |
不适用 |
不适用 |
不适用 |
卸载 |
是的。 |
是的。 |
不适用 |
不适用 |
不适用 |
完整卷还原 |
否 |
否 |
不适用 |
不适用 |
不适用 |
二级保护 |
否 |
否 |
不适用 |
不适用 |
不适用 |
作业监控器 |
是的。 |
不适用 |
不适用 |
不适用 |
不适用 |
备份和克隆查看器角色
备份和克隆查看者角色具有所有权限的只读查看。此角色还具有发现、报告和访问仪表板的权限。
权限 | enabled | 创建 | 读取 | 更新 | 删除 |
---|---|---|---|---|---|
Resource Group |
不适用 |
否 |
是的。 |
否 |
否 |
策略 |
不适用 |
否 |
是的。 |
否 |
否 |
备份 |
不适用 |
否 |
是的。 |
否 |
否 |
主机 |
不适用 |
否 |
是的。 |
否 |
否 |
存储连接 |
不适用 |
否 |
是的。 |
否 |
否 |
克隆 |
不适用 |
否 |
是的。 |
否 |
否 |
配置 |
不适用 |
否 |
是的。 |
否 |
否 |
信息板 |
是的。 |
不适用 |
不适用 |
不适用 |
不适用 |
报告 |
是的。 |
不适用 |
不适用 |
不适用 |
不适用 |
还原 |
否 |
否 |
不适用 |
不适用 |
不适用 |
资源 |
否 |
否 |
是的。 |
是的。 |
否 |
插件安装 / 卸载 |
否 |
不适用 |
不适用 |
不适用 |
不适用 |
migration |
否 |
不适用 |
不适用 |
不适用 |
不适用 |
挂载 |
是的。 |
不适用 |
不适用 |
不适用 |
不适用 |
卸载 |
是的。 |
不适用 |
不适用 |
不适用 |
不适用 |
完整卷还原 |
否 |
不适用 |
不适用 |
不适用 |
不适用 |
二级保护 |
否 |
不适用 |
不适用 |
不适用 |
不适用 |
作业监控器 |
是的。 |
不适用 |
不适用 |
不适用 |
不适用 |
基础架构管理员角色
基础架构管理员角色已启用主机管理,存储管理,配置,资源组,远程安装报告, 并访问信息板。
权限 | enabled | 创建 | 读取 | 更新 | 删除 |
---|---|---|---|---|---|
Resource Group |
不适用 |
是的。 |
是的。 |
是的。 |
是的。 |
策略 |
不适用 |
否 |
是的。 |
是的。 |
是的。 |
备份 |
不适用 |
是的。 |
是的。 |
是的。 |
是的。 |
主机 |
不适用 |
是的。 |
是的。 |
是的。 |
是的。 |
存储连接 |
不适用 |
是的。 |
是的。 |
是的。 |
是的。 |
克隆 |
不适用 |
否 |
是的。 |
否 |
否 |
配置 |
不适用 |
是的。 |
是的。 |
是的。 |
是的。 |
信息板 |
是的。 |
不适用 |
不适用 |
不适用 |
不适用 |
报告 |
是的。 |
不适用 |
不适用 |
不适用 |
不适用 |
还原 |
是的。 |
不适用 |
不适用 |
不适用 |
不适用 |
资源 |
是的。 |
是的。 |
是的。 |
是的。 |
是的。 |
插件安装 / 卸载 |
是的。 |
不适用 |
不适用 |
不适用 |
不适用 |
migration |
否 |
不适用 |
不适用 |
不适用 |
不适用 |
挂载 |
否 |
不适用 |
不适用 |
不适用 |
不适用 |
卸载 |
否 |
不适用 |
不适用 |
不适用 |
不适用 |
完整卷还原 |
否 |
否 |
不适用 |
不适用 |
不适用 |
二级保护 |
否 |
否 |
不适用 |
不适用 |
不适用 |
作业监控器 |
是的。 |
不适用 |
不适用 |
不适用 |
不适用 |