管理受保護的作業規則
建議變更
PDF
您可以建立多管理員驗證(MAV)規則、以指定需要核准的作業。只要啟動作業、就會攔截受保護的作業、並產生核准要求。
任何具備適當RBAC功能的系統管理員都可以在啟用MAV之前建立規則、但一旦啟用MAV、對規則集的任何修改都需要MAV核准。
每個作業只能建立一個 MAV 規則、例如、您無法建立多個 volume-snapshot-delete 規則。任何所需的規則限制都必須包含在單一規則中。
您可以建立規則來保護 "這些命令"。您可以從 ONTAP 版本開始保護每個命令、在此版本中、命令的保護功能會先開始提供。
MAV 系統預設命令的規則 security multi-admin-verify "命令"、不可變更。
除了系統定義的作業之外、當啟用多重管理驗證時、下列命令預設會受到保護、但您可以修改規則、以移除這些命令的保護。
-
security login password -
security login unlock -
set
規則限制
建立規則時、您可以選擇性地指定 -query 將要求限制在命令功能子集的選項。。 -query 選項也可用於限制組態元素、例如 SVM 、 Volume 和 Snapshot 名稱。
例如、在中 volume snapshot delete 命令、 -query 可設為 `-snapshot !hourly*,!daily*,!weekly*`表示以每小時、每日或每週屬性為前置的 Volume Snapshot 不受 MAV 保護。
smci-vsim20::> security multi-admin-verify rule show
Required Approval
Vserver Operation Approvers Groups
------- -------------------------------------- --------- -------------
vs01 volume snapshot delete - -
Query: -snapshot !hourly*,!daily*,!weekly*
|
任何排除的組態元素都不會受到 MAV 保護、任何管理員都可以刪除或重新命名。 |
根據預設、規則會指定對應的 security multi-admin-verify request create “protected_operation” 輸入受保護的作業時、會自動產生命令。您可以修改此預設值、要求使用 request create 命令需另行輸入。
根據預設、規則會繼承下列全域MAV設定、不過您可以指定規則特定的例外狀況:
-
所需核准者人數
-
核准群組
-
核准到期日
-
執行到期期間
System Manager程序
如果您想要第一次新增受保護的作業規則、請參閱的系統管理員程序 "啟用多管理員驗證。"
若要修改現有的規則集:
-
選擇*叢集>設定*。
-
在 * 安全性 * 區段中、選取
* 多重管理核准 * 旁的。 -
選取
以新增至少一個規則;您也可以修改或刪除現有規則。-
作業–從清單中選取支援的命令。
-
查詢–輸入任何所需的命令選項和值。
-
選用參數–保留空白以套用全域設定、或為特定規則指派不同的值以覆寫全域設定。
-
必要的核准人數
-
核准群組
-
-
CLI程序
|
|
全部 security multi-admin-verify rule 命令必須先獲得 MAV 管理員核准、才能執行 security multi-admin-verify rule show。
|
| 如果您想… | 輸入此命令 |
|---|---|
建立規則 |
|
修改目前系統管理員的認證資料 |
範例:下列規則需要核准才能刪除根Volume。
|
修改規則 |
|
刪除規則 |
|
顯示規則 |
|
如需命令語法詳細資料、請參閱 security multi-admin-verify rule 手冊頁。