本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

管理受保護的作業規則

07/29/2024 貢獻者

PDF

您可以建立多管理員驗證（MAV）規則、以指定需要核准的作業。只要啟動作業、就會攔截受保護的作業、並產生核准要求。

任何具備適當RBAC功能的系統管理員都可以在啟用MAV之前建立規則、但一旦啟用MAV、對規則集的任何修改都需要MAV核准。

每個作業只能建立一個 MAV 規則、例如、您無法建立多個 volume-snapshot-delete 規則。任何所需的規則限制都必須包含在單一規則中。

您可以建立規則來保護 "這些命令"。您可以從 ONTAP 版本開始保護每個命令、在此版本中、命令的保護功能會先開始提供。

MAV 系統預設命令的規則 security multi-admin-verify "命令"、不可變更。

除了系統定義的作業之外、當啟用多重管理驗證時、下列命令預設會受到保護、但您可以修改規則、以移除這些命令的保護。

security login password
security login unlock
set

規則限制

建立規則時、您可以選擇性地指定 -query 將要求限制在命令功能子集的選項。。 -query 選項也可用於限制組態元素、例如 SVM 、 Volume 和 Snapshot 名稱。

例如、在中 volume snapshot delete 命令、 -query 可設為 `-snapshot !hourly*,!daily*,!weekly*`表示以每小時、每日或每週屬性為前置的 Volume Snapshot 不受 MAV 保護。

smci-vsim20::> security multi-admin-verify rule show
                                               Required  Approval
Vserver Operation                              Approvers Groups
------- -------------------------------------- --------- -------------
vs01    volume snapshot delete                 -         -
          Query: -snapshot !hourly*,!daily*,!weekly*

任何排除的組態元素都不會受到 MAV 保護、任何管理員都可以刪除或重新命名。

根據預設、規則會指定對應的 security multi-admin-verify request create “protected_operation” 輸入受保護的作業時、會自動產生命令。您可以修改此預設值、要求使用 request create 命令需另行輸入。

根據預設、規則會繼承下列全域MAV設定、不過您可以指定規則特定的例外狀況：

所需核准者人數
核准群組
核准到期日
執行到期期間

System Manager程序

如果您想要第一次新增受保護的作業規則、請參閱的系統管理員程序 "啟用多管理員驗證。"

若要修改現有的規則集：

選擇*叢集>設定*。
在 * 安全性 * 區段中、選取 * 多重管理核准 * 旁的。
選取以新增至少一個規則；您也可以修改或刪除現有規則。
- 作業–從清單中選取支援的命令。
- 查詢–輸入任何所需的命令選項和值。
- 選用參數–保留空白以套用全域設定、或為特定規則指派不同的值以覆寫全域設定。
  - 必要的核准人數
  - 核准群組

CLI程序

全部 security multi-admin-verify rule 命令必須先獲得 MAV 管理員核准、才能執行 security multi-admin-verify rule show。

如果您想… 輸入此命令

如果您想…	輸入此命令
建立規則	`security multi-admin-verify rule create -operation “protected_operation” [-query operation_subset] [parameters]`
修改目前系統管理員的認證資料	`security login modify <parameters>` 範例：下列規則需要核准才能刪除根Volume。 `security multi-admin-verify rule create -operation "volume delete" -query "-vserver vs0"`
修改規則	`security multi-admin-verify rule modify -operation “protected_operation” [parameters]`
刪除規則	`security multi-admin-verify rule delete -operation “protected_operation”`
顯示規則	`security multi-admin-verify rule show`

建立規則

security multi-admin-verify rule create -operation “protected_operation” [-query operation_subset] [parameters]

修改目前系統管理員的認證資料

security login modify <parameters>

範例：下列規則需要核准才能刪除根Volume。

security multi-admin-verify rule create -operation "volume delete" -query "-vserver vs0"

修改規則

security multi-admin-verify rule modify -operation “protected_operation” [parameters]

刪除規則

security multi-admin-verify rule delete -operation “protected_operation”

顯示規則

security multi-admin-verify rule show

如需命令語法詳細資料、請參閱 security multi-admin-verify rule 手冊頁。

管理受保護的作業規則

Creating your file...

規則限制

System Manager程序

CLI程序