了解NetApp控制台身分和存取管理
NetApp控制台中的身分和存取管理 (IAM) 可讓您組織和控制對NetApp資源的存取。您可以根據組織的層次結構來組織資源。例如,您可以按地理位置、網站或業務部門組織資源。然後,您可以將 IAM 角色指派給層次結構特定部分的成員,從而阻止存取層次結構其他部分的資源。
IAM 的工作原理
IAM 可讓您透過將使用者存取角色指派給層次結構的特定部分來授予資源存取權限。例如,可以為成員指派具有五種資源的專案的資料夾或專案管理員角色。
使用 IAM 時,您可以管理以下元件:
-
該組織
-
資料夾
-
專案
-
資源
-
成員
-
角色和權限
-
控制台代理
資源依層次結構組織:
-
該組織處於層級結構的頂端。
-
資料夾是組織或其他資料夾的子資料夾。
-
項目是組織或資料夾的子項。
-
資源與一個或多個資料夾或項目相關聯。
下圖從基本層面說明了這個層次結構。
組織
_組織_是控制台 IAM 系統的頂層,通常代表您的公司。您的組織由資料夾、專案、成員、角色和資源組成。代理與組織內的特定項目相關聯。
資料夾
_資料夾_可讓您將相關項目分組在一起,並將它們與組織中的其他項目分開。例如,文件夾可能代表地理位置(歐盟或美國東部)、站點(倫敦或多倫多)或業務部門(工程或行銷)。
您可以組織資料夾以包含項目、其他資料夾或兩者。它們是可選的。
專案
_專案_代表控制台中的一個工作區,組織成員可以從*系統*頁面存取該工作區以管理資源。例如,一個專案可以包含一個Cloud Volumes ONTAP系統、一個本機ONTAP叢集或一個 FSx for ONTAP檔案系統。
一個組織可以有一個或多個專案。項目可以直接位於組織下或資料夾內。
資源
_資源_是您在控制台中建立或發現的系統。
當您建立或發現資源時,該資源將與目前選定的項目相關聯。這可能是您想要與該資源關聯的唯一項目。但您可以選擇將該資源與您組織中的其他項目相關聯。
例如,您可以將Cloud Volumes ONTAP系統與另一個專案或組織中的所有專案關聯。如何關聯資源取決於您組織的需求。
|
代理還可以與多個項目相關聯。了解有關使用代理與 IAM 的更多信息 。 |
何時將資源與資料夾關聯
您也可以選擇將資源與資料夾關聯,但這是可選的,並且可以滿足特定用例的需求。
_組織管理員_可以將資源與資料夾關聯,以便_資料夾或專案管理員_可以將其連結到資料夾中的相應項目。
例如,假設您有一個包含兩個項目的資料夾:
_組織管理員_可以將資源與資料夾關聯:
將資源與資料夾關聯並不會使所有項目都可以存取它;只有資料夾或專案管理員可以看到它。 _資料夾或專案管理員_決定哪些項目可以存取它,並將資源與適當的專案關聯。
在此範例中,管理員將資源與專案 A 關聯:
擁有專案 A 權限的成員現在可以存取該資源。
成員
您的組織的成員是使用者帳戶或服務帳戶。應用程式通常使用服務帳戶來完成指定的任務,而無需人工幹預。
每個組織至少包含一個具有「組織管理員」角色的使用者(控制台會自動將此角色指派給建立該組織的使用者)。您可以將其他成員新增至組織,並在資源層次結構的不同層級指派不同的權限。
角色和權限
您不能直接向組織成員授予權限。相反,您授予每個成員一個角色。角色包含一組權限,使成員能夠在資源層次結構的特定層級執行特定操作。
在層級結構層級授予角色會限製成員對所需資源和服務的存取。
您可以在層次結構中指派角色
當您將成員與角色關聯時,您需要選擇整個組織、特定資料夾或特定項目。您選擇的角色將授予成員對層次結構中選定部分中的資源的權限。
角色繼承
當您指派角色時,該角色將在組織層次結構中繼承:
- 組織
-
在組織層級授予成員存取角色將賦予他們存取所有資料夾、專案和資源的權限。
- 資料夾
-
當您在資料夾層級授予存取角色時,資料夾中的所有資料夾、項目和資源都會繼承該角色。
例如,如果您在資料夾層級指派角色,且該資料夾有三個項目,則該成員將對這三個項目和任何相關資源擁有權限。
- 專案
-
當您在專案層級授予存取角色時,與該專案相關的所有資源都會繼承該角色。
多重角色
您可以為每個組織成員指派組織層級結構不同層級的角色。可以是相同的角色,也可以是不同的角色。例如,您可以為項目 1 和項目 2 指派成員角色 A。或者您可以為項目 1 指派成員角色 A,為項目 2 指派角色 B。
控制台代理
當「組織管理員」建立控制台代理程式時,控制台會自動將該代理程式與組織和目前選取的項目關聯。 _組織管理員_可以從組織中的任何位置自動存取該代理程式。但是,如果您的組織中有具有不同角色的其他成員,則這些成員只能從建立該代理的專案存取該代理,除非您將該代理與其他專案關聯。
在以下情況下,您可以為另一個專案提供控制台代理:
-
您希望允許組織中的成員使用現有代理程式來建立或發現另一個專案中的其他系統
-
您將現有資源與另一個專案關聯,並且該資源由控制台代理程式管理
如果使用控制台代理程式來發現與其他項目關聯的資源,那麼您還需要將該代理程式與該資源現在關聯的項目關聯。否則,沒有「組織管理員」角色的成員將無法從「系統」頁面存取該代理程式及其關聯資源。
您可以從控制台 IAM 中的「代理」頁面建立關聯:
-
將控制台代理與項目關聯
當您將控制台代理程式與專案關聯時,可以在查看專案時從*系統*頁面存取該代理程式。
-
將控制台代理程式與資料夾關聯
將控制台代理程式與資料夾關聯並不會自動使資料夾中的所有項目都可以存取該代理程式。組織成員無法從專案存取控制台代理,除非您將代理與特定專案關聯。
_組織管理員_可能會將控制台代理與資料夾關聯,以便_資料夾或專案管理員_可以決定將該代理程式與資料夾中的對應項目關聯。
IAM 範例
這些範例示範如何建立您的組織。
簡單的組織
下圖顯示了使用預設項目且沒有資料夾的組織的簡單範例。一名成員管理整個組織。
先進組織
下圖顯示了一個組織使用資料夾來組織業務中每個地理位置的專案。每個項目都有自己的一套相關資源。成員包括組織管理員和組織中每個資料夾的管理員。
IAM 的功能
以下範例說明如何使用 IAM 來管理控制台組織:
-
授予特定成員特定角色,以便他們只能完成所需的任務。
-
由於成員調動部門或承擔額外責任而修改成員權限。
-
刪除已離開本公司的用戶。
-
將資料夾或項目新增至您的層次結構中,因為新的業務部門已新增NetApp儲存體。
-
將資源與另一個專案關聯起來,因為該資源具有另一個團隊可以利用的能力。
-
查看成員可以存取的資源。
-
查看與特定項目相關的成員和資源。