Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

多管理員驗證總覽

貢獻者
PDF

從版本號《支援》9.11.1開始ONTAP 、您可以使用多管理員驗證(MAV)來確保特定作業(例如刪除磁碟區或Snapshot複本)只能在指定管理員核准後執行。如此可防止遭到入侵、惡意或缺乏經驗的系統管理員進行不必要的變更或刪除資料。

設定多管理員驗證包括:

初始設定之後、這些元素只能由MAV核准群組(MAV系統管理員)中的系統管理員修改。

啟用多管理員驗證時、每項受保護的作業都需要三個步驟才能完成:

多管理員驗證不適用於涉及大量自動化的磁碟區或工作流程、因為每項自動化工作都需要核准才能完成作業。 如果您想要一起使用自動化和MAV、建議您針對特定的MAV作業使用查詢。例如、您可以申請 volume delete MAV 規則僅適用於不涉及自動化的磁碟區、您可以指定具有特定命名方案的磁碟區。

註 如果您需要在未經MAV管理員核准的情況下停用多管理員驗證功能、請聯絡NetApp支援部門、並提及下列知識庫文章: "如何在無法使用MAV管理時停用多管理員驗證"

多管理員驗證的運作方式

多管理員驗證包括:

  • 一或多位系統管理員的群組、擁有核准和否決的權限。

  • _規則表_中的一組受保護作業或命令。

  • _規則engine _以識別及控制受保護作業的執行。

根據角色型存取控制(RBAC)規則、評估MAV規則。因此、執行或核准受保護作業的系統管理員必須已擁有這些作業的最低RBAC權限。 "深入瞭解RBAC。"

系統定義的規則

啟用多管理員驗證時、系統定義的規則(也稱為_guard rail _規則)會建立一組MAV作業、以控制規避MAV程序本身的風險。這些作業無法從規則表格中移除。啟用MAV之後、以星號()指定的作業在執行之前、必須先經過一或多位管理員的核准、 show*命令除外。

  • security multi-admin-verify modify 作業 *

    控制多管理員驗證功能的組態。

  • security multi-admin-verify approval-group 營運 *

    以多管理員驗證認證身分證明來控制系統管理員群組的成員資格。

  • security multi-admin-verify rule 營運 *

    控制需要多管理員驗證的命令集。

  • security multi-admin-verify request 營運

    控制核准程序。

受規則保護的命令

除了系統定義的命令之外、在啟用多管理員驗證時、預設會保護下列命令、但您可以修改規則、以移除這些命令的保護。

  • security login password

  • security login unlock

  • set

下列命令可在ONTAP 更新版本的版本中獲得保護。

cluster peer delete

event config modify

security login create

security login delete

security login modify

system node run

system node systemshell

volume delete

volume flexcache delete

volume snapshot autodelete modify

volume snapshot delete

volume snapshot policy add-schedule

volume snapshot policy create

volume snapshot policy delete

volume snapshot policy modify

volume snapshot policy modify-schedule

volume snapshot policy remove-schedule

volume snapshot restore

vserver peer delete

從 ONTAP 9.13.1 開始、可以保護下列命令:

  • volume snaplock modify

  • security anti-ransomware volume attack clear-suspect

  • security anti-ransomware volume disable

  • security anti-ransomware volume pause

從 ONTAP 9.14.1 開始、可以保護下列命令:

  • volume recovery-queue modify

  • volume recovery-queue purge

  • volume recovery-queue purge-all

  • vserver modify

多管理員核准的運作方式

只要在受MAV保護的叢集上輸入受保護的作業、就會將作業執行要求傳送至指定的MAV系統管理員群組。

您可以設定:

  • MAV群組中的系統管理員名稱、聯絡資訊和數量。

    MAV管理員應具備具備叢集管理員權限的RBAC角色。

  • MAV系統管理員群組的數目。

    • 每個受保護的作業規則都會指派一個MAV群組。

    • 對於多個MAV群組、您可以設定哪個MAV群組核准特定規則。

  • 執行受保護作業所需的MAV核准數。

  • MAV管理員必須在_核准到期_期間內回應核准要求。

  • 執行過期_期間、要求的系統管理員必須在此期間內完成作業。

設定這些參數後、必須取得MAV核准才能加以修改。

MAV系統管理員無法核准自己執行受保護作業的要求。因此:

  • 不應在只有一位系統管理員的叢集上啟用MAV。

  • 如果MAV群組中只有一個人、則MAV管理員無法進入受保護的作業;一般管理員必須輸入這些作業、MAV管理員只能核准。

  • 如果您想讓MAV管理員能夠執行受保護的作業、則MAV管理員人數必須大於所需的核准人數。 例如、如果受保護的作業需要兩次核准、而您希望MAV系統管理員執行這些核准、則MAV系統管理員群組中必須有三位人員。

MAV系統管理員可以接收電子郵件警示中的核准要求(使用EMS)、也可以查詢要求佇列。 當他們收到要求時、可以採取下列三種行動之一:

  • 核准

  • 拒絕(否決)

  • 忽略(無行動)

在下列情況下、電子郵件通知會傳送給與MAV規則相關的所有核准者:

  • 隨即建立要求。

  • 申請已核准或遭否決。

  • 系統會執行核准的申請。

如果申請者在該作業的同一個核准群組中、他們會在申請獲得核准時收到一封電子郵件。

*附註:*申請者無法核准自己的申請、即使他們是在核准群組中。但他們可以收到電子郵件通知。不在核准群組中的申請者(即非MAV系統管理員)不會收到電子郵件通知。

受保護的作業執行方式

如果已核准執行受保護的作業、則要求的使用者會在收到提示時繼續執行該作業。如果作業遭否決、申請使用者必須先刪除申請、然後再繼續。

MAV規則會在RBAC權限之後評估。因此、沒有足夠RBAC權限執行作業的使用者無法啟動MAV要求程序。