Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

管理受保護的作業規則

貢獻者
PDF

您可以建立多管理員驗證(MAV)規則、以指定需要核准的作業。只要啟動作業、就會攔截受保護的作業、並產生核准要求。

任何具備適當RBAC功能的系統管理員都可以在啟用MAV之前建立規則、但一旦啟用MAV、對規則集的任何修改都需要MAV核准。

每個作業只能建立一個 MAV 規則、例如、您無法建立多個 volume-snapshot-delete 規則。任何所需的規則限制都必須包含在單一規則中。

受規則保護的命令

您可以建立規則、以保護從 ONTAP 9.11.1 開始的下列命令。

cluster peer delete

event config modify

security login create

security login delete

security login modify

system node run

system node systemshell

volume delete

volume flexcache delete

volume snapshot autodelete modify

volume snapshot delete

volume snapshot policy add-schedule

volume snapshot policy create

volume snapshot policy delete

volume snapshot policy modify

volume snapshot policy modify-schedule

volume snapshot policy remove-schedule

volume snapshot restore

vserver peer delete

您可以建立規則、以保護從 ONTAP 9.13.1 開始的下列命令:

  • volume snaplock modify

  • security anti-ransomware volume attack clear-suspect

  • security anti-ransomware volume disable

  • security anti-ransomware volume pause

您可以建立規則、以保護從 ONTAP 9.14.1 開始的下列命令:

  • volume recovery-queue modify

  • volume recovery-queue purge

  • volume recovery-queue purge-all

  • vserver modify

MAV 系統預設命令的規則 security multi-admin-verify "命令"、不可變更。

除了系統定義的命令之外、在啟用多管理員驗證時、預設會保護下列命令、但您可以修改規則、以移除這些命令的保護。

  • security login password

  • security login unlock

  • set

規則限制

建立規則時、您可以選擇性地指定 -query 將要求限制在命令功能子集的選項。。 -query 選項也可用於限制組態元素、例如 SVM 、 Volume 和 Snapshot 名稱。

例如、在中 volume snapshot delete 命令、 -query 可設為 `-snapshot !hourly*,!daily*,!weekly*`表示以每小時、每日或每週屬性為前置的 Volume Snapshot 不受 MAV 保護。

smci-vsim20::> security multi-admin-verify rule show
                                               Required  Approval
Vserver Operation                              Approvers Groups
------- -------------------------------------- --------- -------------
vs01    volume snapshot delete                 -         -
          Query: -snapshot !hourly*,!daily*,!weekly*
註 任何排除的組態元素都不會受到 MAV 保護、任何管理員都可以刪除或重新命名。

根據預設、規則會指定對應的 security multi-admin-verify request create “protected_operation” 輸入受保護的作業時、會自動產生命令。您可以修改此預設值、要求使用 request create 命令需另行輸入。

根據預設、規則會繼承下列全域MAV設定、不過您可以指定規則特定的例外狀況:

  • 所需核准者人數

  • 核准群組

  • 核准到期日

  • 執行到期期間

System Manager程序

如果您想要第一次新增受保護的作業規則、請參閱的系統管理員程序 "啟用多管理員驗證。"

若要修改現有的規則集:

  1. 選擇*叢集>設定*。

  2. 選取 齒輪圖示 在「安全性」區段的「多管理員核准」旁邊。

  3. 選取 新增圖示 若要新增至少一個規則、您也可以修改或刪除現有的規則。

    • 作業–從清單中選取支援的命令。

    • 查詢–輸入任何所需的命令選項和值。

    • 選用參數–保留空白以套用全域設定、或為特定規則指派不同的值以覆寫全域設定。

      • 必要的核准人數

      • 核准群組

CLI程序

註 全部 security multi-admin-verify rule 命令必須先獲得 MAV 管理員核准、才能執行 security multi-admin-verify rule show
如果您想… 輸入此命令

建立規則

security multi-admin-verify rule create -operation “protected_operation” [-query operation_subset] [parameters]

修改目前系統管理員的認證資料

security login modify <parameters>

範例:下列規則需要核准才能刪除根Volume。

security multi-admin-verify rule create -operation "volume delete" -query "-vserver vs0"

修改規則

security multi-admin-verify rule modify -operation “protected_operation” [parameters]

刪除規則

security multi-admin-verify rule delete -operation “protected_operation”

顯示規則

security multi-admin-verify rule show

如需命令語法詳細資料、請參閱 security multi-admin-verify rule 手冊頁。