本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

多管理員驗證總覽

貢獻者

PDF

從版本號《支援》9.11.1開始ONTAP 、您可以使用多管理員驗證（MAV）來確保特定作業（例如刪除磁碟區或Snapshot複本）只能在指定管理員核准後執行。如此可防止遭到入侵、惡意或缺乏經驗的系統管理員進行不必要的變更或刪除資料。

設定多管理員驗證包括：

初始設定之後、這些元素只能由MAV核准群組（MAV系統管理員）中的系統管理員修改。

啟用多重管理驗證時、完成每項受保護的作業都需要下列步驟：

當使用者啟動作業時 "已產生要求。"
在執行之前、請至少先執行一項 "MAV管理員必須核准。"
核准後、使用者即完成作業。

如果您需要在未經MAV管理員核准的情況下停用多管理員驗證功能、請聯絡NetApp支援部門、並提及下列知識庫文章： "如何在無法使用MAV管理時停用多管理員驗證"。

多管理員驗證不適用於涉及大量自動化的磁碟區或工作流程、因為每項自動化工作都需要核准才能完成作業。如果您想要同時使用自動化和 MAV 、建議您針對特定的 MAV 作業使用查詢。例如、您可以申請 volume delete MAV 規則僅適用於不涉及自動化的磁碟區、您可以指定具有特定命名方案的磁碟區。

Cloud Volumes ONTAP 無法使用多重管理驗證。

多管理員驗證的運作方式

多管理員驗證包括：

一或多位系統管理員的群組、擁有核准和否決的權限。
_規則表_中的一組受保護作業或命令。
_規則engine _以識別及控制受保護作業的執行。

根據角色型存取控制（RBAC）規則、評估MAV規則。因此、執行或核准受保護作業的系統管理員必須已擁有這些作業的最低RBAC權限。 "深入瞭解RBAC"。

系統定義的規則

啟用多管理員驗證時、系統定義的規則（也稱為_guard rail _規則）會建立一組MAV作業、以控制規避MAV程序本身的風險。這些作業無法從規則表格中移除。啟用MAV之後、以星號（）指定的作業在執行之前、必須先經過一或多位管理員的核准、 show*命令除外。

security multi-admin-verify modify 營運 *

控制多管理員驗證功能的組態。
security multi-admin-verify approval-group 營運 *

以多管理員驗證認證身分證明來控制系統管理員群組的成員資格。
security multi-admin-verify rule 營運 *

控制需要多管理員驗證的命令集。
security multi-admin-verify request 營運

控制核准程序。

受規則保護的命令

除了系統定義的作業之外、當啟用多重管理驗證時、下列命令預設會受到保護、但您可以修改規則、以移除這些命令的保護。

security login password
security login unlock
set

每個 ONTAP 版本都提供更多命令、讓您可以選擇使用多重管理驗證規則來保護這些命令。請選擇您的 ONTAP 版本、以取得可保護的命令完整清單。

9.15.1..

cluster date modify ³
cluster log-forwarding create ³
cluster log-forwarding delete ³
cluster log-forwarding modify ³
cluster peer delete
cluster time-service ntp server create ³
cluster time-service ntp server delete ³
cluster time-service ntp server key create ³
cluster time-service ntp server key delete ³
cluster time-service ntp server key modify ³
cluster time-service ntp server modify ³
event config modify
lun delete ³
security anti-ransomware volume attack clear-suspect ¹
security anti-ransomware volume disable ¹
security anti-ransomware volume pause ¹
security audit modify ³
security ipsec config modify ³
security ipsec policy create ³
security ipsec policy delete ³
security ipsec policy modify ³
security login create
security login delete
security login modify
security saml-sp create ³
security saml-sp delete ³
security saml-sp modify ³
snaplock legal-hold end ³
storage aggregate delete ³
storage encryption disk destroy ³
storage encryption disk modify ³
storage encryption disk revert-to-original-state ³
storage encryption disk sanitize ³
system bridge run-cli ³
system controller flash-cache secure-erase run ³
system controller service-event delete ³
system health alert delete ³
system health alert modify ³
system health policy definition modify ³
system node autosupport modify ³
system node autosupport trigger modify ³
system node coredump delete ³
system node coredump delete-all ³
system node hardware nvram-encryption modify ³
system node run
system node systemshell
system script delete ³
system service-processor ssh add-allowed-addresses ³
system service-processor ssh remove-allowed-addresses ³
system smtape restore ³
system switch ethernet log disable-collection ³
system switch ethernet log modify ³
timezone ³
volume create ³
volume delete
volume encryption conversion start ³
volume encryption rekey start ³
volume file privileged-delete ³
volume flexcache delete
volume modify ³
volume recovery-queue modify ²
volume recovery-queue purge ²
volume recovery-queue purge-all ²
volume snaplock modify ¹
volume snapshot autodelete modify
volume snapshot create ³
volume snapshot delete
volume snapshot modify ³
volume snapshot policy add-schedule
volume snapshot policy create
volume snapshot policy delete
volume snapshot policy modify
volume snapshot policy modify-schedule
volume snapshot policy remove-schedule
volume snapshot rename ³
volume snapshot restore
vserver audit create ³
vserver audit delete ³
vserver audit disable ³
vserver audit modify ³
vserver audit rotate-log ³
vserver delete ³
vserver modify ²
vserver object-store-server audit create ³
vserver object-store-server audit delete ³
vserver object-store-server audit disable ³
vserver object-store-server audit modify ³
vserver object-store-server audit rotate-log ³
vserver options ³
vserver peer delete
vserver security file-directory apply ³
vserver security file-directory remove-slag ³
vserver vscan disable ³
vserver vscan on-access-policy create ³
vserver vscan on-access-policy delete ³
vserver vscan on-access-policy disable ³
vserver vscan on-access-policy modify ³
vserver vscan scanner-pool create ³
vserver vscan scanner-pool delete ³
vserver vscan scanner-pool modify ³

9.14.1.

cluster peer delete
event config modify
security anti-ransomware volume attack clear-suspect ¹
security anti-ransomware volume disable ¹
security anti-ransomware volume pause ¹
security login create
security login delete
security login modify
system node run
system node systemshell
volume delete
volume flexcache delete
volume recovery-queue modify ²
volume recovery-queue purge ²
volume recovery-queue purge-all ²
volume snaplock modify ¹
volume snapshot autodelete modify
volume snapshot delete
volume snapshot policy add-schedule
volume snapshot policy create
volume snapshot policy delete *
volume snapshot policy modify
volume snapshot policy modify-schedule
volume snapshot policy remove-schedule
volume snapshot restore
vserver modify ²
vserver peer delete

9.13.1.12.9.12.9.

cluster peer delete
event config modify
security anti-ransomware volume attack clear-suspect ¹
security anti-ransomware volume disable ¹
security anti-ransomware volume pause ¹
security login create
security login delete
security login modify
system node run
system node systemshell
volume delete
volume flexcache delete
volume snaplock modify ¹
volume snapshot autodelete modify
volume snapshot delete
volume snapshot policy add-schedule
volume snapshot policy create
volume snapshot policy delete *
volume snapshot policy modify
volume snapshot policy modify-schedule
volume snapshot policy remove-schedule
volume snapshot restore
vserver peer delete

9.12.1/9.11.1

cluster peer delete
event config modify
security login create
security login delete
security login modify
system node run
system node systemshell
volume delete
volume flexcache delete
volume snapshot autodelete modify
volume snapshot delete
volume snapshot policy add-schedule
volume snapshot policy create
volume snapshot policy delete *
volume snapshot policy modify
volume snapshot policy modify-schedule
volume snapshot policy remove-schedule
volume snapshot restore
vserver peer delete

9.13.1 全新的規則保護命令
適用於 9.14.1 的全新規則保護命令
9.15.1 的新規則保護命令
- 此命令僅適用於 CLI 、無法用於 System Manager 。

多管理員核准的運作方式

只要在受MAV保護的叢集上輸入受保護的作業、就會將作業執行要求傳送至指定的MAV系統管理員群組。

您可以設定：

MAV群組中的系統管理員名稱、聯絡資訊和數量。

MAV管理員應具備具備叢集管理員權限的RBAC角色。
MAV系統管理員群組的數目。
- 每個受保護的作業規則都會指派一個MAV群組。
- 對於多個MAV群組、您可以設定哪個MAV群組核准特定規則。
執行受保護作業所需的MAV核准數。
MAV管理員必須在_核准到期_期間內回應核准要求。
執行過期_期間、要求的系統管理員必須在此期間內完成作業。

設定這些參數後、必須取得MAV核准才能加以修改。

MAV系統管理員無法核准自己執行受保護作業的要求。因此：

不應在只有一位系統管理員的叢集上啟用MAV。
如果 MAV 群組中只有一個人、則 MAV 管理員無法啟動受保護的作業；一般管理員必須啟動受保護的作業、且 MAV 管理員只能核准。
如果您想讓MAV管理員能夠執行受保護的作業、則MAV管理員人數必須大於所需的核准人數。例如、如果受保護的作業需要兩次核准、而您希望MAV系統管理員執行這些核准、則MAV系統管理員群組中必須有三位人員。

MAV系統管理員可以接收電子郵件警示中的核准要求（使用EMS）、也可以查詢要求佇列。當他們收到要求時、可以採取下列三種行動之一：

核准
拒絕（否決）
忽略（無行動）

在下列情況下、電子郵件通知會傳送給與MAV規則相關的所有核准者：

隨即建立要求。
申請已核准或遭否決。
系統會執行核准的申請。

如果申請者在該作業的同一個核准群組中、他們會在申請獲得核准時收到一封電子郵件。

申請者即使在核准群組中、也無法核准自己的申請。他們可以收到電子郵件通知。不在核准群組中的申請者（即非MAV系統管理員）不會收到電子郵件通知。

受保護的作業執行方式

如果已核准執行受保護的作業、則要求的使用者會在收到提示時繼續執行該作業。如果作業遭否決、申請使用者必須先刪除申請、然後再繼續。

MAV規則會在RBAC權限之後評估。因此、沒有足夠RBAC權限執行作業的使用者無法啟動MAV要求程序。