瞭解 BlueXP 身分識別與存取管理
建議變更
PDF
BlueXP 身分識別與存取管理( IAM )可讓您組織及控制對 NetApp 資源的存取。您可以根據組織的階層來組織資源。例如、您可以依地理位置、站台或業務單位來組織資源。然後,您可以將 IAM 角色指派給階層特定部分的成員,以防止存取階層其他部分的資源。
BlueXP IAM 的運作方式
BlueXP IAM 可讓您透過為使用者指派層次結構中特定部分的存取角色來授予資源存取權限。例如,可以為某個包含五個資源的項目指派資料夾或專案管理員角色。
使用 BlueXP IAM 時、您將管理下列元件:
-
組織
-
資料夾
-
專案
-
資源
-
成員
-
角色與權限
-
連接器
BlueXP 資源是分層組織的:
-
組織是階層架構的最上層。
-
資料夾是組織或其他資料夾的子資料夾。
-
專案是組織或資料夾的子項目。
-
資源與一或多個資料夾或專案相關聯。
下圖說明此階層架構的基本層級。
組織
_company 是 BlueXP IAM 系統的頂級產品、通常代表貴公司。您的組織包含資料夾、專案、成員、角色和資源。連接器與組織中的特定專案相關聯。
資料夾
fold 可讓您將相關專案分組在一起、並將其與組織中的其他專案分開。例如、資料夾可能代表地理位置(歐盟或美國東部)、站台(倫敦或多倫多)或業務單位(工程或行銷)。
資料夾可以包含項目、其他資料夾或兩者。建立資料夾是可選的。
專案
project 代表 BlueXP 中的工作區、組織成員可從 BlueXP 畫布存取、以管理資源。例如、專案可以包含 Cloud Volumes ONTAP 系統、內部部署 ONTAP 叢集、或是適用於 ONTAP 檔案系統的 FSX 。
組織可以有一或多個專案。專案可以直接位於組織下方或資料夾內。
資源
resource 是您在 BlueXP 中建立或發現的工作環境。
當您建立或探索資源時、資源會與目前選取的專案相關聯。這可能是您要與此資源建立關聯的唯一專案。但您可以選擇將資源與組織中的其他專案建立關聯。
例如、您可以將 Cloud Volumes ONTAP 系統與一個額外的專案或組織中的所有專案建立關聯。資源的關聯方式取決於組織的需求。
|
您也可以將 Connector 與組織中的其他資料夾或專案建立關聯。深入瞭解如何搭配 BlueXP IAM 使用 Connectors。 |
何時將資源與資料夾建立關聯
您也可以選擇將資源與資料夾建立關聯、但這是選擇性的、可滿足特定使用案例的需求。
_組織管理員_可能會將資源與資料夾關聯,以允許_資料夾或專案管理員_將該資源連結到資料夾中的相應項目。
例如、假設您的資料夾包含兩個專案:
Organization admin 可以將資源與資料夾建立關聯:
將資源與資料夾關聯並不會使所有項目都可以存取它;只有資料夾或專案管理員可以看到它。資料夾管理員或專案管理員會決定哪些項目可以存取該資源,並將該資源與對應的項目關聯。
在此範例中、管理員會將資源與 Project A 建立關聯:
擁有專案 A 權限的成員現在可以存取資源。
成員
您組織的成員是使用者帳戶或服務帳戶。應用程式通常會使用服務帳戶來完成指定的工作、而無需人工介入。
每個組織至少包含一個具有「組織管理員」角色的使用者(BlueXP 會自動將此角色指派給建立該組織的使用者)。您可以將其他成員新增至組織、並在資源階層的不同層級中指派不同的權限。
角色與權限
在 BlueXP IAM 中、您不會直接授予組織成員權限。而是將角色授予每個成員。角色包含一組權限、可讓成員在資源階層的特定層級執行特定動作。
在特定層次結構層級授予權限會限製成員對所需資源以及可以使用這些資源的服務的存取。
可在階層中指派角色的位置
當您將成員與角色建立關聯時、您需要選取整個組織、特定資料夾或特定專案。您選取的角色會授予成員對階層中所選部分資源的權限。
角色繼承
當您指派角色時、該角色會繼承至組織階層:
- 組織
-
在組織層級授予成員存取角色將賦予他們存取所有資料夾、專案和資源的權限。
- 資料夾
-
當您在資料夾層級授予存取角色時,資料夾中的所有資料夾、項目和資源都會繼承該角色。
例如、如果您在資料夾層級指派角色、且該資料夾有三個專案、則成員將擁有這三個專案及任何相關資源的權限。
- 專案
-
當您在專案層級授予存取角色時,與該專案相關的所有資源都會繼承該角色。
多個角色
您可以在組織階層的不同層級上、為每個組織成員指派角色。它可以是相同的角色或不同的角色。例如、您可以為專案 1 和專案 2 指派成員角色 A 。或者、您也可以為專案 1 指派成員角色 A 、為專案 2 指派角色 B 。
連接器
當 Organization admin 建立 Connector 時、 BlueXP 會自動將該 Connector 與組織及目前選取的專案建立關聯。Organization admin 會自動從組織的任何位置存取該 Connector 。但如果組織中有其他成員的角色不同、則除非您將該 Connector 與其他專案建立關聯、否則這些成員只能從建立該 Connector 的專案存取該 Connector 。
在下列情況下,您可以使連接器可用於另一個項目:
-
您想要允許組織中的成員使用現有的 Connector 來建立或探索其他專案中的其他工作環境
-
您將現有資源與其他專案建立關聯、該資源由 Connector 管理
如果使用 BlueXP 連接器發現與其他項目關聯的資源,那麼您還需要將連接器與資源現在關聯的項目關聯。否則,沒有「組織管理員」角色的成員無法從 BlueXP 畫布存取連接器及其關聯資源。
您可以從 BlueXP IAM 的 * 連接器 * 頁面建立關聯:
-
將 Connector 與專案建立關聯
當您將 Connector 與專案建立關聯時、可在檢視專案時從 BlueXP 畫布存取該 Connector 。
-
將 Connector 與資料夾建立關聯
將 Connector 與資料夾建立關聯、並不會自動讓該 Connector 從資料夾中的所有專案存取。組織成員必須先將 Connector 與該特定專案建立關聯、才能從專案存取 Connector 。
Organization admin 可能會將 Connector 與資料夾建立關聯、讓 Folder 或專案 admin 可以決定將該 Connector 與位於資料夾中的適當專案建立關聯。
IAM 範例
這些範例示範如何建立您的組織。
簡單的組織
下圖顯示使用預設專案且不使用資料夾的組織範例。單一成員管理整個組織。
進階組織
下圖顯示組織使用資料夾來組織企業中每個地理位置的專案。每個專案都有自己的相關資源集。成員包括組織管理員和組織中每個資料夾的管理員。
BlueXP IAM 的用途
下列範例說明如何使用 IAM 來管理 BlueXP 組織:
-
將特定角色授予特定成員、以便他們只能完成所需的工作。
-
修改成員權限、因為他們搬移部門、或是因為他們有額外的責任。
-
移除離開公司的使用者。
-
新增資料夾或專案至您的階層架構、因為新的業務單位已新增 NetApp 儲存設備。
-
將資源與另一個專案建立關聯、因為該資源具有其他團隊可以使用的容量。
-
檢視成員可以存取的資源。
-
檢視與特定專案相關的成員和資源。