了解NetApp Console身分和存取管理
建議變更
PDF
使用NetApp控制台的身分和存取管理 (IAM) 來組織您的NetApp資源,並根據您的業務結構(按位置、部門或專案)控制存取權限。
您可以依層次結構組織資源:組織位於頂層,然後是資料夾(資料夾可以包含其他資料夾或專案),然後是專案,專案包含儲存系統、工作負載和代理程式。
在組織、資料夾或專案層級指派存取角色,以便使用者擁有對資源的正確存取權限。
|
您必須擁有 Super admin 、 Organization admin 或 Folder or project admin 角色,才能在 NetApp Console 中管理 IAM 。 |
下圖從基本層面說明了這個層次結構。
身分和存取管理元件
NetApp Console IAM 由三種類型的元件構成:定義層次結構的組織元件、在該層次結構中指派的資源,以及控制誰可以存取什麼的成員和角色。
NetApp Console 組織元件
組織元件(組織、資料夾和專案)構成了一個階層,決定了資源的分組方式以及存取權的委派方式。
- 組織
-
organization 是 NetApp Console IAM 系統的頂級層級,通常代表您的公司。您的組織由資料夾、專案、成員、角色和資源組成。資源與專案關聯,成員在組織、資料夾或專案層級被指派角色。
- 專案
-
專案用於分組儲存資源。您可以將資源指派給專案,並在專案層級授予使用者存取權。資源可以屬於多個專案。擁有專案存取權的使用者可以使用其資源。
例如,您可以根據需要,將本機ONTAP系統與單一專案或組織中的所有專案關聯起來。
- 資料夾
-
將相關專案分組到 folders 中,以便按位置、網站或業務部門進行組織。您無法直接將資源關聯到資料夾,但為使用者指派資料夾層級的角色,即可使其存取該資料夾中的所有專案。
|
|
具有 Org admin 角色的使用者可以將資源新增至資料夾,將資源與專案關聯的任務委派給該資料夾的 Folder 或 project admins。"了解如何將資源與資料夾關聯". |
資源
資源 是指 NetApp Console 可識別並可指派給專案的實體。資源 包括儲存系統、Keystone 訂閱、部分 NetApp Backup and Recovery 工作負載以及 NetApp Console 代理。
將資源與專案建立關聯,以便有權存取該專案的使用者可以使用該資源。
例如,您可以將Cloud Volumes ONTAP系統與一個專案或組織中的所有專案關聯起來。資源的分配方式取決於貴組織的需求。
- 儲存系統
-
儲存系統是您在 NetApp Console 中管理的主要資源。NetApp Console 支援管理內部部署和雲端儲存系統。將儲存系統新增至專案,以便有權存取該專案的使用者可以存取它。
儲存系統會自動關聯到新增它們的專案,但您也可以在 Resources 頁面中將它們關聯到其他專案或資料夾。您無法將 FSx for NetApp ONTAP 儲存系統關聯到專案或資料夾,但可以在 Systems 頁面或 Workloads 中查看它們。
- Keystone訂閱
-
Keystone訂閱也是您可以與專案關聯的資源,以便授予使用者在NetApp Console中存取訂閱的權限。
- 備份與還原工作負載(Oracle 和 Microsoft SQL Server)
-
某些 Backup and Recovery 工作負載也被視為資源。將 Backup and Recovery 工作負載指派給專案,以授予使用者存取權。
- 控制台代理
-
組織管理員建立 Console 代理程式來管理儲存系統並啟用 NetApp 資料服務。代理程式最初與其建立的專案關聯,但管理員可以從 Agents 頁面將其新增至其他專案。
成員及角色
成員是指您組織中的使用者和服務帳戶。角色定義了他們可以執行哪些操作以及可以在哪個層級(組織、資料夾或專案)執行這些操作。
- 成員
-
您的組織的成員是使用者帳戶或服務帳戶。應用程式通常使用服務帳戶來完成指定的任務,而無需人工幹預。
成員註冊 NetApp Console 後,將其新增至您的組織。新增後,指派角色以提供資源存取權。您可以手動從 Console 新增服務帳戶,也可以透過 NetApp Console IAM API 自動建立和管理服務帳戶。
- 訪問角色
-
控制台提供您可以指派給組織成員的存取角色。
將成員與角色建立關聯時,您可以為整個組織、特定資料夾或特定專案授予該角色。您選擇的角色會授予成員對階層中所選部分資源的權限。
NetApp Console 提供細緻的角色,遵循「最小權限」原則,這表示存取角色的設計僅授予使用者所需的存取權限。
隨著職責的增加,使用者可能會身兼多職。
"了解訪問角色" 。
IAM 策略範例
合適的 IAM 架構取決於組織的規模和團隊的組織方式。以下範例展示了不同組織如何利用 IAM 層級結構有效地管理存取。
小型組織策略
對於使用者少於 50 人且採用集中式儲存管理的組織,可以考慮使用超級管理員和超級查看者角色的簡化方法。
範例:ABC公司(5人團隊)
-
組織架構: 單一組織,下設 3 個項目(生產、開發、備份)
-
角色:
-
2 位高階成員:擁有*超級管理員*角色,可取得完整的管理權限
-
3 位團隊成員:*超級檢視者*角色,擁有監控權限但無修改權限
-
-
代理策略:所有項目都關聯一個代理,以實現資源共享存取。
-
優勢:簡化管理,降低角色複雜性,適合需要廣泛存取權限的團隊
多區域企業策略
對於擁有區域營運和專業團隊的大型組織,應採用層級式方法,並以資料夾表示地理或業務單元邊界。
例如:XYZ公司(跨國公司)
-
結構: 組織結構 > 區域資料夾(北美、歐洲、亞太) > 每個區域的專案資料夾
-
平台角色:
-
1 組織管理:全球監督與政策管理
-
3 資料夾或專案管理員:區域控制(每個區域一個)
-
1 聯盟管理員:企業身分提供者集成
-
-
按區域劃分的儲存角色:
-
9 儲存管理員:發現並管理指定區域中的儲存系統
-
2 儲存檢視器:監控跨區域的儲存資源
-
1 系統健康專家:無需修改系統即可管理儲存健康狀況
-
-
數據服務角色:
-
備份與復原管理員:按項目依備份職責而定
-
勒索軟體復原管理員:負責跨專案的安全團隊監控
-
-
代理策略:與相應地理項目相關的區域代理
-
優勢: 透過角色分離、區域自主權和遵守當地法規來增強安全性
部門專業化策略
對於擁有需要特定資料服務存取權限的專業團隊的組織,應根據職能職責進行有針對性的角色分配。
例如:TechCorp(一家中型科技公司)
-
結構: 組織 > 部門資料夾(IT、安全、開發) > 專案特定資源
-
專業職缺:
-
安全團隊:*勒索軟體復原管理員*和*分類檢視器*角色
-
備份團隊:備份與還原超級管理員,負責全面的備份作業
-
開發團隊:測試環境管理儲存管理員
-
合規團隊:營運支援分析師,負責監控與支援個案管理
-
-
代理策略: 根據資源所有權將代理與部門項目關聯起來
-
優勢: 可自訂的存取控制、更高的營運效率以及明確的專案任務責任劃分