Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在ONTAP中設定 JIT 權限提升

貢獻者 netapp-bhouser netapp-aaron-holt

從ONTAP 9.17.1 開始,叢集管理員可以設定即時 (JIT) 權限提升,以允許ONTAP使用者暫時提升其權限以執行某些任務。為使用者配置 JIT 後,他們可以臨時"提升他們的特權"賦予具有執行任務所需權限的角色。會話持續時間到期後,使用者將恢復其原始存取等級。

叢集管理員可以設定使用者存取 JIT 提升的時長。例如,您可以設定使用者存取 JIT 提升的時長,在 30 天的時間內(即「JIT 有效期」),每次會話的時長限制為 30 分鐘(即「會話有效期限」)。在這 30 天的時間段內,使用者可以根據需要多次提升權限,但每次會話的時間限制為 30 分鐘。

JIT 權限提升支援最小權限原則,讓使用者執行需要提升權限的任務,而無需永久授予這些權限。這有助於降低未經授權的存取或意外更改系統的風險。以下範例描述了 JIT 權限提升的一些常見用例:

  • 允許臨時訪問 `security login create`和 `security login delete`命令來啟用使用者的入職和離職。

  • 允許臨時訪問 `system node image update`和 `system node upgrade-revert`在更新視窗期間。更新完成後,命令存取權限將被撤銷。

  • 允許臨時訪問 cluster add-nodecluster remove-node , 和 `cluster modify`以啟用叢集擴充或重新配置。叢集變更完成後,命令存取權限將被撤銷。

  • 允許臨時訪問 `volume snapshot restore`啟用還原作業和備份目標管理。還原或設定完成後,命令存取權限將被撤銷。

  • 允許臨時訪問 `security audit log show`在合規性檢查期間啟用稽核日誌審查和匯出。

如需查看更詳細的常見 JIT 用例列表,請參閱常見的 JIT 用例

叢集管理員可以為ONTAP使用者設定 JIT 存取權限,並在整個叢集範圍內或為特定 SVM 配置預設 JIT 有效期。

關於這項工作
  • JIT 權限提升僅適用於使用 SSH 存取ONTAP的使用者。提升的權限僅在使用者目前的 SSH 會話中可用,但使用者可以根據需要在任意數量的並發 SSH 會話中提升權限。

  • JIT 權限提升僅支援使用密碼、nsswitch 或網域驗證登入的使用者。 JIT 權限提升不支援多重身分驗證 (MFA)。

開始之前
  • 您必須是ONTAP叢集管理員 `admin`權限等級來執行下列任務。

修改全域 JIT 設定

您可以修改ONTAP叢集全域或特定 SVM 的預設 JIT 設定。這些設定決定了已配置 JIT 存取的使用者的預設會話有效期和最大 JIT 有效期。

關於這項工作
  • 預設 `default-session-validity-period`值為一小時。此設定決定使用者在 JIT 會話中可以存取提升權限的時間,之後需要重新提升權限。

  • 預設 `max-jit-validity-period`值為 90 天。此設定決定了使用者在配置的開始日期之後可以存取 JIT 提升權限的最長期限。您可以為單一使用者設定 JIT 有效期,但不能超過最長 JIT 有效期。

步驟
  1. 檢查目前 JIT 設定:

    security jit-privilege show -vserver <svm_name>

    `-vserver`是可選的。如果您未指定 SVM,則命令將顯示全域 JIT 設定。

  2. 全域或針對 SVM 修改 JIT 設定:

    security jit-privilege modify -vserver <svm_name> -default-session-validity-period <period> -max-jit-validity-period <period>

    如果您未指定 SVM,則命令將修改全域 JIT 設定。以下範例將 SVM 的預設 JIT 會話時長設定為 45 分鐘,最大 JIT 長度設定為 30 天 svm1 :+ security jit-privilege modify -vserver svm1 -default-session-validity-period 45m -max-jit-validity-period 30d

    在此範例中,使用者將能夠一次存取 45 分鐘的 JIT 提升,並且可以在配置的開始日期之後最多 30 天內啟動 JIT 工作階段。

為使用者配置 JIT 權限提升存取權限

您可以為ONTAP使用者指派 JIT 權限提升存取權限。

步驟
  1. 檢查使用者目前的 JIT 存取權限:

    security jit-privilege user show -username <username>

    `-username`是可選的。如果您未指定使用者名,該命令將顯示所有使用者的 JIT 存取權限。

  2. 為使用者指派新的 JIT 存取權限:

    security jit-privilege create -username <username> -vserver <svm_name> -role <rbac_role> -session-validity-period <period> -jit-validity-period <period> -start-time <date>
    • 如果 `-vserver`未指定,則在叢集層級分配 JIT 存取。

    • -role`是使用者將被提升到的 RBAC 角色。如果未指定, `-role`預設為 `admin

    • `-session-validity-period`是使用者在需要啟動新的 JIT 會話之前可以存取提升角色的時間長度。如果未指定,則全域或 SVM `default-session-validity-period`被使用。

    • -jit-validity-period`是使用者在配置的開始日期之後可以發起 JIT 會話的最長持續時間。如果未指定,則 `session-validity-period`被使用。此參數不能超過全域或 SVM `max-jit-validity-period

    • `-start-time`是使用者可以啟動 JIT 會話的日期和時間。如果未指定,則使用目前日期和時間。

      下面的例子將允許 ontap_user`訪問 `admin`角色運行 1 小時後才需要開始新的 JIT 會話。 `ontap_user`將能夠從 2025 年 7 月 1 日下午 1 點開始啟動為期 60 天的 JIT 會話:+ `security jit-privilege user create -username ontap_user -role admin -session-validity-period 1h -jit-validity-period 60d -start-time "7/1/25 13:00:00"

  3. 如果需要,撤銷使用者的 JIT 存取權限:

    security jit-privilege user delete -username <username> -vserver <svm_name>

    此命令將撤銷使用者的 JIT 存取權限,即使其存取權限尚未過期。如果 `-vserver`如果未指定,則 JIT 存取權限將在叢集層級撤銷。如果使用者處於活動的 JIT 會話中,則該會話將被終止。

常見的 JIT 用例

下表包含 JIT 權限提升的常見用例。對於每個用例,都需要配置一個 RBAC 角色來提供對相關命令的存取權限。每個命令都連結到ONTAP命令參考,其中包含有關該命令及其參數的更多資訊。

使用案例 命令 細節

使用者和角色管理

  • security login create

  • security login delete

在入職或離職期間暫時提升新增/刪除使用者或變更角色的權限。

證書管理

  • security certificate create

  • security certificate install

授予證書安裝或更新的短期存取權限。

SSH/CLI 存取控制

  • security login create -application ssh

暫時授予 SSH 存取權限以進行故障排除或供應商支援。

授權管理

  • system license add

  • system license delete

授予在功能啟動或停用期間新增或刪除許可證的權限。

系統升級和修補

  • system node image update

  • system node upgrade-revert

提升升級窗口,然後撤銷。

網路安全設定

  • security login role create

  • security login role modify

允許對網路相關的安全角色進行臨時更改。

叢集管理

  • cluster add-node

  • cluster remove-node

  • cluster modify

提升叢集擴充或重新配置。

SVM 管理

  • vserver create

  • vserver delete

  • vserver modify

暫時授予 SVM 管理員權限以進行設定或停用。

磁碟區管理

  • volume create

  • volume delete

  • volume modify

提升磁碟區配置、調整大小或刪除的權限。

快照管理

  • volume snapshot create

  • volume snapshot delete

  • volume snapshot restore

提升快照刪除或在復原期間復原的權限。

網路組態

  • network interface create

  • network port vlan create

授予在維護時段內進行網路變更的權利。

磁碟/聚合管理

  • storage disk assign

  • storage aggregate create

  • storage aggregate add-disks

提升新增或刪除磁碟或管理聚合的能力。

資料保護

  • snapmirror create

  • snapmirror modify

  • snapmirror restore

暫時提升以配置或恢復SnapMirror關係。

效能調優

  • qos policy-group create

  • qos policy-group modify

提升性能故障排除或調整。

審計日誌訪問

  • security audit log show

在合規性檢查期間暫時提升稽核日誌審查或匯出權限。

事件和警報管理

  • event notification create

  • event notification modify

提升設定或測試事件通知或 SNMP 陷阱的權限。

合規性驅動的數據訪問

  • volume show

  • security audit log show

授予審計員臨時唯讀存取權限以審查敏感資料或日誌。

特權訪問審查

  • security login show

  • security login role show

暫時提升權限以審查和報告特權存取權限。在限定時間內授予唯讀權限。