Skip to main content
ONTAP tools for VMware vSphere 9.12
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

適用於VMware的權限ONTAP

貢獻者

以角色為基礎的存取控制(RBAC)可讓您控制對特定儲存系統的存取、並控制使用者可在這些儲存系統上執行的動作。ONTAP在適用於 VMware vSphere 的 ONTAP ® 工具中、 ONTAP RBAC 可與 vCenter Server RBAC 搭配運作、以判斷特定使用者可在特定儲存系統上的物件上執行哪些 ONTAP 工具工作。

ONTAP 工具會使用您在 ONTAP 工具中設定的認證(使用者名稱和密碼)來驗證每個儲存系統、並判斷可以在該儲存系統上執行哪些儲存作業。ONTAP 工具會針對每個儲存系統使用一組認證。這些認證可決定可在該儲存系統上執行哪些 ONTAP 工具工作;換句話說、認證適用於 ONTAP 工具、而非個別 ONTAP 工具使用者。

ONTAP RBAC 僅適用於存取儲存系統及執行與儲存相關的 ONTAP 工具工作、例如資源配置虛擬機器。如果ONTAP 您沒有適用於特定儲存系統的適當RBAC權限、就無法在該儲存系統上裝載的vSphere物件上執行任何工作。您可以搭配使用 ONTAP RBAC 與 ONTAP 工具專屬權限、來控制使用者可以執行哪些 ONTAP 工具工作:

  • 監控及設定儲存系統上的儲存或vCenter Server物件

  • 資源配置位於儲存系統上的vSphere物件

使用 ONTAP RBAC 搭配 ONTAP 工具專屬權限、可提供儲存管理員可管理的儲存導向安全層。因此、您擁有比ONTAP 單純使用VMware RBAC或僅使用vCenter Server RBAC支援更精細的存取控制。例如、有了vCenter Server RBAC、您可以允許vCenterUserB在NetApp儲存設備上配置資料存放區、同時防止vCenterUserA配置資料存放區。如果特定儲存系統的儲存系統認證不支援建立儲存設備、則vCenterUserB或vCenterUserA都無法在該儲存系統上配置資料存放區。

當您起始 ONTAP 工具工作時、 ONTAP 工具會先確認您是否擁有該工作的正確 vCenter Server 權限。如果 vCenter Server 權限不足以允許您執行工作、則 ONTAP 工具不必檢查該儲存系統的 ONTAP 權限、因為您並未通過初始 vCenter Server 安全性檢查。因此、您無法存取儲存系統。

如果 vCenter Server 權限足夠、則 ONTAP 工具會檢查與儲存系統認證(使用者名稱和密碼)相關聯的 ONTAP RBAC 權限(您的 ONTAP 角色)。 判斷您是否擁有足夠的權限來執行該儲存系統上 ONTAP 工具工作所需的儲存作業。如果您擁有正確的 ONTAP 權限、則可以存取儲存系統並執行 ONTAP 工具工作。ONTAP 角色決定您可以在儲存系統上執行的 ONTAP 工具工作。

每個儲存系統都有ONTAP 一組相關的「樣」權限。

同時使用ONTAP VMware RBAC和vCenter Server RBAC可提供下列優點:

  • 安全性

    管理員可控制哪些使用者可在精細的vCenter Server物件層級和儲存系統層級執行哪些工作。

  • 稽核資訊

    在許多情況下、 ONTAP 工具會在儲存系統上提供稽核追蹤記錄、讓您能夠將事件追蹤回執行儲存修改的 vCenter Server 使用者。

  • 使用性

    您可以將所有的控制器認證資料保留在同一個位置。

使用VMware vSphere的VMware vSphere的VMware VMware VMware VMware VMware VMware VMware VMware VMware VMware VMware VMware VMware VMware VMware VMware ONTAP ONTAP

您可以設定數ONTAP 個建議的VMware vCenter功能、以搭配ONTAP VMware vSphere的VMware®工具和角色型存取控制(RBAC)。這些角色包含執行 ONTAP 工具工作所需儲存作業所需的 ONTAP 權限。

若要建立新的使用者角色、您必須以系統管理員身分登入執行ONTAP 效益分析的儲存系統。您可以使用 ONTAP 系統管理員 9.8P1 或更新版本來建立 ONTAP 角色。 請參閱 "設定使用者角色和權限" 以取得更多資訊。

每ONTAP 個功能都有一個相關的使用者名稱和密碼配對、構成該角色的認證資料。如果您未使用這些認證登入、則無法存取與該角色相關的儲存作業。

作為一項安全措施、 ONTAP 工具專屬的 ONTAP 角色會以階層順序排列。這表示第一個角色是最具限制性的角色、只有與最基本的 ONTAP 工具儲存作業集相關的權限。下一個角色同時包含自己的權限、以及與先前角色相關的所有權限。對於支援的儲存作業、每個額外角色的限制都較少。

以下是使用 ONTAP 工具時建議的一些 ONTAP RBAC 角色。建立這些角色之後、您可以將角色指派給必須執行儲存相關工作的使用者、例如資源配置虛擬機器。

  1. 探索

    此角色可讓您新增儲存系統。

  2. 建立儲存設備

    此角色可讓您建立儲存設備。此角色也包含與探索角色相關的所有權限。

  3. 修改儲存設備

    此角色可讓您修改儲存設備。此角色也包含與探索角色和建立儲存角色相關的所有權限。

  4. 摧毀儲存設備

    此角色可讓您銷毀儲存設備。此角色也包含與探索角色、建立儲存角色及修改儲存角色相關的所有權限。

如果您使用VASA Provider ONTAP 來執行功能、也應該設定原則型管理(PBM)角色。此角色可讓您使用儲存原則來管理儲存設備。這項職務要求您也必須設定「探索」角色。