開始使用
RBAC安全性總覽
建議變更
PDF
包含強大且可擴充的角色型存取控制(RBAC)功能。ONTAP您可以為每個帳戶指派不同的角色、以控制使用者對透過REST API和CLI公開之資源的存取。這些角色定義不同ONTAP 層級的管理存取權限、以供各種不同的使用者使用。
|
藉助於《更新版本》(及後續版本)、可持續擴充及大幅增強其RBAC功能。ONTAP ONTAP請參閱 "RBAC演進摘要" 和 "更新功能:利用靜止API與自動化技術ONTAP" 以取得更多資訊。 |
職務ONTAP
角色是一組權限、可共同定義使用者可以採取的行動。每項權限都會識別特定的存取路徑及相關的存取層級。角色會指派給使用者帳戶、ONTAP 並在決定存取控制時套用到由功能不完整的角色。
角色類型
角色有兩種類型。他們是ONTAP 根據不同環境的需求而推出、並隨之量身打造。
|
|
使用每種角色時都有優點和缺點。請參閱 "比較角色類型" 以取得更多資訊。 |
| 類型 | 說明 |
|---|---|
休息 |
其餘角色是ONTAP 以32個9.6加入、一般適用於透過ONTAP REST API存取的使用者。建立REST角色會自動建立傳統的_mapping角色。 |
傳統 |
以上是ONTAP 支援支援支援支援支援支援的舊角色。這些產品是針對ONTAP 整個CLI環境而推出、並持續成為RBAC安全性的基礎。 |
範圍
每個角色都有定義及套用的範圍或內容。此範圍決定使用特定角色的位置和方式。
|
|
使用者帳戶也有類似的範圍、可決定使用者的定義和使用方式。ONTAP |
| 範圍 | 說明 |
|---|---|
叢集 |
具有叢集範圍的角色是ONTAP 在整個叢集層級定義。它們與叢集層級的使用者帳戶相關聯。 |
SVM |
具有SVM範圍的角色是針對特定資料SVM所定義。它們會指派給同一個SVM中的使用者帳戶。 |
角色定義的來源
有兩種方法ONTAP 可以定義「角色扮演」。
| 角色來源 | 說明 |
|---|---|
自訂 |
這個系統管理員可以建立自訂角色。ONTAP這些角色可根據特定環境和安全需求量身打造。 |
內建 |
雖然自訂角色可提供更高的靈活度、但叢集和SVM層級也有一組內建角色可供使用。這些角色是預先定義的、可用於許多常見的管理工作。 |
角色對應與ONTAP 資料處理
根據您使用的版本、所有或幾乎所有REST API呼叫都會對應到一或多個CLI命令。ONTAP當您建立REST角色時、也會建立傳統或舊角色。此*對應的*傳統角色是以對應的CLI命令為基礎、無法操作或變更。
|
|
不支援反轉角色對應。也就是、建立傳統角色並不會建立對應的REST角色。 |
RBAC演進摘要
所有的版本均包含ONTAP 傳統角色。其餘的角色稍後會介紹、並會依照下列說明進行演進。
REST API是ONTAP 以NetApp 9.6推出。其餘角色也隨附於此版本中。此外、當您建立REST角色時、也會建立對應的傳統角色。
從ONTAP 9.7到9.10.1的每個版本均包含REST API的增強功能。例如、每個版本都新增了其他REST端點。不過、這兩種角色類型的建立與管理仍是分開的。此外ONTAP 、針對快照REST端點「/API/storage / voles/{vol.uuid}/snapshots」(資源合格的端點)、還加入了REST RBAC支援。
此版本新增了使用REST API來設定及管理傳統角色的功能。此外還新增其他REST角色的存取層級。