Skip to main content
ONTAP Automation
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

與角色和使用者合作

貢獻者

瞭解基本的RBAC功能之後、您就可以開始使用ONTAP 各種角色和使用者。

註 請參閱 "RBAC 工作流程" 如需如何建立及使用 ONTAP REST API 角色的範例。

管理存取

您可以ONTAP 透過REST API或命令列介面來建立及管理等功能。存取詳細資料如下所述。

REST API

在使用RBAC角色和使用者帳戶時、可以使用多個端點。表格中的前四個用於建立及管理角色。最後兩個用於建立及管理使用者帳戶。

提示 您可以在ONTAP 線上存取此功能 "API 參考" 如需詳細資訊、包括如何使用API的範例、請參閱文件。
端點 說明

安全性/角色

此端點可讓您建立新的REST角色。從功能性的問題9.11.1開始ONTAP 、您也可以建立傳統角色。在這種情況ONTAP 下、由功能變數根據輸入參數來決定角色類型。您也可以擷取已定義角色的清單。

安全性/角色/{Owner.UUID}/{name}

您可以擷取或刪除特定叢集或SVM範圍內的角色。UUID值可識別定義角色的SVM(叢集或資料SVM)。名稱值是角色的名稱。

安全性/角色/{Oner.UUID}/{name}/權限

此端點可讓您設定特定角色的權限。內建的角色可以擷取、但無法更新。如ONTAP 需詳細資訊、請參閱適用於您的發行版的API參考文件。

安全性/角色/{Owner.UUID}/{name}/權限/[路徑]

您可以擷取、修改及刪除特定權限的存取層級和選用查詢值。如ONTAP 需詳細資訊、請參閱適用於您的發行版的API參考文件。

安全/帳戶

此端點可讓您建立新的叢集或SVM範圍使用者帳戶。在帳戶運作之前、必須先加入或後續新增多種類型的資訊。您也可以擷取已定義的使用者帳戶清單。

安全性/帳戶/{owner.UUID}/{name}

您可以擷取、修改及刪除特定叢集或SVM範圍內的使用者帳戶。UUID值可識別定義使用者的SVM(叢集或資料SVM)。名稱值為帳戶名稱。

命令列介面

相關ONTAP 的CLI命令如下所述。所有命令均可透過系統管理員帳戶在叢集層級存取。

命令 說明

'安全登入'

此目錄包含建立及管理使用者登入所需的命令。

「安全登入REST角色」

此目錄包含建立及管理與使用者登入相關之REST角色所需的命令。

《安全登入角色》

此目錄包含建立及管理與使用者登入相關之傳統角色所需的命令。

角色定義

其餘角色和傳統角色是透過一組屬性來定義。

擁有者與範圍

角色可由ONTAP 叢集內的某個叢集或特定資料SVM擁有。擁有者也會隱含決定角色的範圍。

唯一名稱

每個角色在其範圍內都必須有唯一的名稱。叢集角色的名稱ONTAP 在叢集層級必須是唯一的、而SVM角色在特定SVM中必須是唯一的。

註 新REST角色的名稱在其餘角色和傳統角色之間必須是唯一的。這是因為建立REST角色也會產生具有相同名稱的新傳統_mapping角色。
一組權限

每個角色都包含一組或多個權限。每項權限都會識別特定的資源或命令、以及相關的存取層級。

權限

一個角色可以包含一或多個權限。每個權限定義都是一個群組、可建立特定資源或作業的存取層級。

資源路徑

資源路徑可識別為REST端點或CLI命令/命令目錄路徑。

REST端點

API端點會識別REST角色的目標資源。

CLI命令

CLI命令可識別傳統角色的目標。您也可以指定命令目錄、然後將所有下游命令都包含在ONTAP 列舉的CLI階層中。

存取層級

存取層級會定義角色對特定資源路徑或命令的存取類型。存取層級是透過一組預先定義的關鍵字來識別。採用了三種存取層級ONTAP 、搭配使用NetApp 9.6。它們既可用於傳統角色、也可用於REST角色。此外、還新增ONTAP 了三個使用者層級的更新版本、包括更新版本的版本。這些新的存取層級只能用於REST角色。

註 存取層級遵循CRUD模式。使用REST時、這是以主要HTTP方法(POST、GET、修補、刪除)為基礎。對應的CLI作業通常會對應至REST作業(建立、顯示、修改、刪除)。
存取層級 REST原元 新增 僅限REST角色

不適用

9.6

唯讀

取得

9.6

全部

取得、張貼、修補、刪除

9.6

read_create

取得、發佈

9.11.1.

是的

Read_modify

取得、修補

9.11.1.

是的

read_create_modify

取得、發佈、修補程式

9.11.1.

是的

選用查詢

建立傳統角色時、您可以選擇性地加入*查詢*值、以識別命令或命令目錄適用物件的子集。

內建角色摘要

您可以在叢集或SVM層級使用幾個ONTAP 隨附於功能性功能的預先定義角色。

叢集範圍內的角色

叢集範圍內有多個內建角色可供使用。

請參閱 "叢集管理員的預先定義角色" 以取得更多資訊。

角色 說明

管理

擁有此角色的系統管理員擁有不受限制的權限、可在ONTAP 這個系統中執行任何動作。他們可以設定所有叢集層級和SVM層級的資源。

AutoSupport

這是專為AutoSupport 此客戶量身打造的特殊職務。

備份

此特殊角色適用於需要備份系統的備份軟體。

SnapLock

這是專為SnapLock 此客戶量身打造的特殊職務。

唯讀

具有此角色的系統管理員可以檢視叢集層級的所有項目、但無法進行任何變更。

不提供管理功能。

SVM範圍內的角色

SVM範圍內有多個內建角色可供使用。* vsadmin*可讓您存取最通用且功能最強大的功能。另外還有幾個專為特定管理工作量身打造的角色、包括:

  • vsadmin-volume

  • vsadmin-Protocol

  • vsadmin-Backup

  • vsadmin-SnapLock

  • vsadmin-readonly

請參閱 "SVM系統管理員的預先定義角色" 以取得更多資訊。

比較角色類型

在選擇* REST *角色或*傳統*角色之前、您應該瞭解兩者的差異。以下說明兩種角色類型的一些比較方法。

註 對於較進階或複雜的RBAC使用案例、通常應使用傳統角色。

使用者存取ONTAP 功能的方式

在建立角色之前、請務必瞭解使用者如何存取ONTAP 該系統。根據這種情況、您可以決定角色類型。

存取 建議類型

僅REST API

REST角色的設計可與REST API搭配使用。

REST API和CLI

您可以定義REST角色、也可以建立對應的傳統角色。

僅限CLI

您可以建立傳統角色。

存取路徑的精確性

為REST角色定義的存取路徑是以REST端點為基礎。傳統角色的存取路徑是以CLI命令或命令目錄為基礎。此外、您也可以加入選用的查詢參數及傳統角色、以根據命令參數值進一步限制存取。