Skip to main content
NetApp Console setup and administration
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

了解NetApp Console身分和存取管理

貢獻者 netapp-tonias netapp-ahibbard
PDF

使用NetApp控制台的身分和存取管理 (IAM) 來組織您的NetApp資源,並根據您的業務結構(按位置、部門或專案)控制存取權限。

資源按層級排列:組織位於頂層,其次是資料夾(可以包含其他資料夾或項目),然後是項目,項目包含儲存系統、工作負載和代理。

在組織、資料夾或專案層級為成員指派基於角色的存取控制 (RBAC) 權限,以確保使用者擁有對資源的適當存取權限。

註 您必須擁有_超級管理員_、_組織管理員_或_資料夾或專案管理員_角色才能在NetApp Console中管理 IAM。

下圖從基本層面說明了這個層次結構。

資源管理組成部分的概念圖]

身分和存取管理元件

在NetApp Console中,您可以使用三個主要元件來組織儲存資源:組織元件、資源元件和使用者存取元件。

組織內的專案和資料夾

在您的 IAM 架構中,您使用三個組織元件:組織、專案和資料夾。您可以透過為使用者指派以下任何層級的角色來授予他們存取權限。

組織

_組織_是控制台 IAM 系統的頂層,通常代表您的公司。您的組織由資料夾、專案、成員、角色和資源組成。代理與組織內的特定項目相關聯。

專案

項目用於提供對儲存資源的存取。必須先將資源分配給項目,其他人才能存取這些資源。您可以將多個資源指派給一個項目,也可以建立多個項目。然後,您可以為使用者指派專案權限,使他們能夠存取專案中的資源。

例如,您可以根據需要,將本機ONTAP系統與單一專案或組織中的所有專案關聯起來。

"了解如何為您的組織新增項目。"

資料夾

將相關項目分組到_資料夾_中,以便按位置、站點或業務部門進行組織。您無法直接將資源與資料夾關聯,但將使用者指派到資料夾層級的角色,即可使其存取該資料夾中的所有項目。

"了解如何為您的組織新增資料夾。"

資源

資源包括儲存系統、 Keystone訂閱以及控制台代理。

+ 必須先將資源與項目關聯,其他人才能存取該資源。

+

例如,您可以將Cloud Volumes ONTAP系統與一個專案或組織中的所有專案關聯起來。資源的分配方式取決於貴組織的需求。

+

"了解如何將資源關聯到專案。"

儲存系統和Keystone訂閱

儲存系統是您在NetApp Console中管理的主要資源。NetApp Console支援對本機和雲端儲存系統的管理。必須先在專案中新增儲存系統,其他人才能存取該專案。

儲存系統會自動與新增它們的項目關聯,但您也可以從「資源」頁面將它們與其他項目或資料夾關聯。

Keystone訂閱也是您可以與專案關聯的資源,以便授予使用者在NetApp Console中存取訂閱的權限。

控制台代理

組織管理員建立控制台代理來管理儲存系統並啟用NetApp資料服務。代理最初與創建它們的項目關聯,但管理員可以從“代理”頁面將它們添加到其他項目或資料夾。

將代理程式與專案關聯起來,可以管理該專案中的資源;而將代理程式與資料夾關聯起來,可以讓資料夾或專案管理員決定哪些專案應該使用該代理程式。代理人必須與特定項目關聯才能提供管理能力。

"了解如何將代理商與項目關聯起來。"

成員及角色

成員

您的組織的成員是使用者帳戶或服務帳戶。應用程式通常使用服務帳戶來完成指定的任務,而無需人工幹預。

成員註冊NetApp Console後,您需要將他們新增至您的組織。添加完成後,您可以為他們指派角色,以便授予他們存取資源的權限。您可以手動從控制台新增服務帳戶,也可以透過NetApp ConsoleIAM API 自動建立和管理服務帳戶。

"了解如何為您的組織新增成員。"

訪問角色

控制台提供您可以指派給組織成員的存取角色。

將成員與角色關聯時,您可以為整個組織、特定資料夾或特定專案授予該角色。您選擇的角色賦予成員對層次結構中選取部分的資源的權限。

NetApp Console提供細粒度的角色控制,遵循「最小權限」原則,這表示存取角色旨在僅向使用者授予其所需的權限。

這意味著隨著使用者職責的增加,他們可能會被分配多個角色。

"了解訪問角色"

IAM 策略範例

小型組織策略

對於使用者少於 50 人且採用集中式儲存管理的組織,可以考慮使用超級管理員和超級查看者角色的簡化方法。

範例:ABC公司(5人團隊)

  • 組織架構: 單一組織,下設 3 個項目(生產、開發、備份)

  • 角色:

    • 2 位高階成員:擁有*超級管理員*角色,可取得完整的管理權限

    • 3 位團隊成員:*超級檢視者*角色,擁有監控權限但無修改權限

  • 代理策略:所有項目都關聯一個代理,以實現資源共享存取。

  • 優勢:簡化管理,降低角色複雜性,適合需要廣泛存取權限的團隊

多區域企業策略

對於擁有區域營運和專業團隊的大型組織,應採用層級式方法,並以資料夾表示地理或業務單元邊界。

例如:XYZ公司(跨國公司)

  • 結構: 組織結構 > 區域資料夾(北美、歐洲、亞太) > 每個區域的專案資料夾

  • 平台角色:

    • 1 組織管理:全球監督與政策管理

    • 3 資料夾或專案管理員:區域控制(每個區域一個)

    • 1 聯盟管理員:企業身分提供者集成

  • 按區域劃分的儲存角色:

    • 9 儲存管理員:發現並管理指定區域中的儲存系統

    • 2 儲存檢視器:監控跨區域的儲存資源

    • 1 系統健康專家:無需修改系統即可管理儲存健康狀況

  • 數據服務角色:

    • 備份與復原管理員:按項目依備份職責而定

    • 勒索軟體復原管理員:負責跨專案的安全團隊監控

  • 代理策略:與相應地理項目相關的區域代理

  • 優勢: 透過角色分離、區域自主權和遵守當地法規來增強安全性

部門專業化策略

對於擁有需要特定資料服務存取權限的專業團隊的組織,應根據職能職責進行有針對性的角色分配。

例如:TechCorp(一家中型科技公司)

  • 結構: 組織 > 部門資料夾(IT、安全、開發) > 專案特定資源

  • 專業職缺:

    • 安全團隊:*勒索軟體復原管理員*和*分類檢視器*角色

    • 備份團隊:備份與還原超級管理員,負責全面的備份作業

    • 開發團隊:測試環境管理儲存管理員

    • 合規團隊:營運支援分析師,負責監控與支援個案管理

  • 代理策略: 根據資源所有權將代理與部門項目關聯起來

  • 優勢: 可自訂的存取控制、更高的營運效率以及明確的專案任務責任劃分

NetApp Console中 IAM 的後續步驟