Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

以角色為基礎的存取控制:檔案系統分析

貢獻者
PDF

從《銷售資訊》9.12開始ONTAP 、ONTAP 這個功能包括預先定義的角色型存取控制(RBAC)角色、稱為 admin-no-fsa。。 admin-no-fsa 角色會授予系統管理員層級的權限、但會防止使用者執行與相關的作業 files 端點(例如檔案系統分析)、位於ONTAP Rest CLI、REST API和System Manager中。

如需的詳細資訊、請參閱 admin-no-fsa 角色、請參閱 叢集管理員的預先定義角色

如果您使用ONTAP 的是ONTAP 發行版本不低於《支援資訊》9.12.1的版本、則需要建立專屬角色來控制檔案系統分析的存取。在ONTAP 版本的不含ONTAP 更新版本《R129.12.1.1》中、您必須透過ONTAP 《The R1221》或ONTAP 《The R1221 API》來設定RBAC權限。

系統管理員

從ONTAP 《支援資料》9.12.1開始、您可以使用System Manager設定檔案系統分析的RBAC權限。

步驟

  1. 選擇*叢集>設定*。在「安全性」下、瀏覽至*使用者與角色*、然後選取 箭頭圖示

  2. 在*角色*下、選取 新增圖示

  3. 提供角色名稱。在「角色屬性」下、提供適當的權限來設定使用者角色的存取或限制 "API 端點"。請參閱下表、瞭解設定檔案系統分析存取或限制的主要路徑和次要路徑。

    限制 主要路徑 次要路徑

    Volume活動追蹤

    /api/storage/volumes

    • /:uuid/top-metrics/directories

    • /:uuid/top-metrics/files

    • /:uuid/top-metrics/clients

    • /:uuid/top-metrics/users

    SVM上的活動追蹤

    /api/svm/svms

    • /:uuid/top-metrics/directories

    • /:uuid/top-metrics/files

    • /:uuid/top-metrics/clients

    • /:uuid/top-metrics/users

    所有檔案系統分析作業

    /api/storage/volumes

    /:uuid/files

    您可以使用 /*/ 而非UUID、可在端點設定所有磁碟區或SVM的原則。

    選擇每個端點的存取權限。

  4. 選擇*保存*。

  5. 若要將角色指派給使用者、請參閱 控制系統管理員存取權

CLI

如果您使用ONTAP 的是ONTAP 版本不低於《21》的《21》、請使用ONTAP 《21》的《21》CLI建立自訂角色。

步驟

  1. 建立預設角色以存取所有功能。

    在建立限制角色之前、必須先完成這項作業、以確保「活動追蹤」上的角色僅受到限制:

    security login role create -cmddirname DEFAULT -access all -role storageAdmin

  2. 建立限制角色:

    security login role create -cmddirname "volume file show-disk-usage" -access none -role storageAdmin

  3. 授權角色存取SVM的Web服務:

    • rest 用於 REST API 呼叫

    • security 提供密碼保護

    • sysmgr 供 System Manager 存取

      vserver services web access create -vserver svm-name -name_ -name rest -role storageAdmin

      vserver services web access create -vserver svm-name -name security -role storageAdmin

    vserver services web access create -vserver svm-name -name sysmgr -role storageAdmin

  4. 建立使用者。

    您必須針對要套用至使用者的每個應用程式、發出不同的create命令。在同一位使用者上多次呼叫建立、只會將所有應用程式套用至該位使用者、而不會每次都建立新的使用者。。 http 應用程式類型參數適用於 ONTAP REST API 和系統管理員。

    security login create -user-or-group-name storageUser -authentication-method password -application http -role storageAdmin

  5. 有了新的使用者認證資料、您現在可以登入System Manager、或使用ONTAP REST API來存取檔案系統分析資料。

更多資訊