SnapCenter中基於角色的存取控制
建議變更
PDF
SnapCenter基於角色的存取控制 (RBAC) 和ONTAP權限使SnapCenter管理員能夠將SnapCenter資源的控制權委託給不同的使用者或使用者群組。這種集中管理的存取使應用程式管理員能夠在委派的環境中安全地工作。
您可以隨時建立和修改角色,並為使用者新增資源存取權。但是,首次設定SnapCenter時,至少應將 Active Directory 使用者或群組新增至角色,然後在這些使用者或群組中新增資源存取權。
|
您不能使用SnapCenter建立使用者或群組帳戶。您應該在作業系統或資料庫的 Active Directory 中建立使用者或群組帳戶。 |
SnapCenter中的 RBAC 類型
SnapCenter使用以下類型的角色為基礎的存取控制:
-
SnapCenter RBAC
-
應用程式等級 RBAC
-
適用於 VMware vSphere RBAC 的SnapCenter插件
-
ONTAP 權限
SnapCenter RBAC
SnapCenter具有預先定義的角色,您可以將使用者或使用者群組指派給這些角色。預定義的角色是:
-
SnapCenter管理員角色
-
應用程式備份和克隆管理員角色
-
備份和克隆檢視器角色
-
基礎設施管理員角色
當您為使用者指派角色時,除非您指派了 SnapCenterAdmin 角色,否則只有與該使用者相關的作業才會顯示在「作業」頁面中。
您還可以建立新角色並管理權限和使用者。您可以為使用者或群組指派權限以存取SnapCenter對象,例如主機、儲存連線和資源群組。
您可以將 RBAC 權限指派給同一林內的使用者和群組以及屬於不同林的使用者。您無法將 RBAC 權限指派給屬於跨林嵌套群組的使用者。
|
|
如果建立自訂角色,它必須包含 SnapCenterAdmin 角色的所有權限。如果您僅複製部分權限,例如新增主機或刪除主機,則無法執行這些操作。 |
使用者需要在登入時透過圖形使用者介面 (GUI) 或使用 PowerShell cmdlet 提供身份驗證。如果使用者是多個角色的成員,則在輸入登入憑證後,系統會提示他們指定要使用的角色。用戶還需要提供身份驗證才能運行 API。
應用程式等級 RBAC
SnapCenter使用憑證來驗證授權的SnapCenter使用者是否也具有應用程式層級權限。
例如,如果您想在 SQL Server 環境中執行資料保護操作,則必須使用正確的 Windows 或 SQL 憑證設定憑證。 SnapCenter伺服器使用任一方法對設定的憑證進行驗證。如果要在ONTAP儲存上的 Windows 檔案系統環境中執行資料保護操作, SnapCenter管理員角色必須在 Windows 主機上具有管理員權限。
同樣,如果您想在 Oracle 資料庫上執行資料保護操作,並且如果資料庫主機中停用了作業系統 (OS) 驗證,則必須使用 Oracle 資料庫或 Oracle ASM 憑證設定憑證。SnapCenter伺服器根據操作使用其中一種方法對設定的憑證進行身份驗證。
SnapCenter Plug-in for VMware vSphere
如果您使用SnapCenter VMware 外掛程式進行虛擬機器一致的資料保護,則 vCenter Server 會提供額外等級的 RBAC。 SnapCenter VMware 外掛程式支援 vCenter Server RBAC 和ONTAP RBAC。 "了解更多"
最佳實務: NetApp建議您為SnapCenter Plug-in for VMware vSphere建立ONTAP角色,並為其指派所有必要的權限。 |
ONTAP 權限
您應該建立具有存取儲存系統所需權限的 vsadmin 帳戶。"了解更多"
分配給預定義SnapCenter角色的權限
將使用者新增至角色時,您必須指派 StorageConnection 權限以啟用儲存虛擬機器 (SVM) 通信,或為使用者指派 SVM 以啟用使用 SVM 的權限。儲存連線權限使用戶能夠建立 SVM 連線。
例如,具有SnapCenter管理員角色的用戶可以建立 SVM 連線並將其指派給具有應用程式備份和複製管理員角色的用戶,而該用戶預設情況下沒有建立或編輯 SVM 連線的權限。如果沒有 SVM 連接,使用者就無法完成任何備份、複製或復原作業。
SnapCenter管理員角色
SnapCenter管理員角色已啟用所有權限。您不能修改此角色的權限。您可以將使用者和群組新增至角色或將其刪除。
應用程式備份和克隆管理員角色
應用程式備份和複製管理員角色具有執行應用程式備份和複製相關任務的管理作業所需的權限。此角色沒有主機管理、設定、儲存連線管理或遠端安裝的權限。
| 權限 | 已啟用 | 創造 | 讀 | 更新 | 刪除 |
|---|---|---|---|---|---|
資源組 |
不適用 |
是的 |
是的 |
是的 |
是的 |
政策 |
不適用 |
是的 |
是的 |
是的 |
是的 |
備份 |
不適用 |
是的 |
是的 |
是的 |
是的 |
主持人 |
不適用 |
是的 |
是的 |
是的 |
是的 |
儲存連接 |
不適用 |
不 |
是的 |
不 |
不 |
複製 |
不適用 |
是的 |
是的 |
是的 |
是的 |
條款 |
不適用 |
不 |
是的 |
不 |
不 |
儀表板 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
報告 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
恢復 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
資源 |
是的 |
是的 |
是的 |
是的 |
是的 |
插件安裝/解除安裝 |
不 |
不適用 |
不適用 |
不適用 |
|
遷移 |
不 |
不適用 |
不適用 |
不適用 |
不適用 |
山 |
是的 |
是的 |
不適用 |
不適用 |
不適用 |
解除安裝 |
是的 |
是的 |
不適用 |
不適用 |
不適用 |
全卷還原 |
不 |
不 |
不適用 |
不適用 |
不適用 |
二級保護 |
不 |
不 |
不適用 |
不適用 |
不適用 |
作業監視器 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
備份和克隆檢視器角色
備份和克隆查看者角色具有所有權限的唯讀檢視。此角色還具有發現、報告和存取儀表板的權限。
| 權限 | 已啟用 | 創造 | 讀 | 更新 | 刪除 |
|---|---|---|---|---|---|
資源組 |
不適用 |
不 |
是的 |
不 |
不 |
政策 |
不適用 |
不 |
是的 |
不 |
不 |
備份 |
不適用 |
不 |
是的 |
不 |
不 |
主持人 |
不適用 |
不 |
是的 |
不 |
不 |
儲存連接 |
不適用 |
不 |
是的 |
不 |
不 |
複製 |
不適用 |
不 |
是的 |
不 |
不 |
條款 |
不適用 |
不 |
是的 |
不 |
不 |
儀表板 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
報告 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
恢復 |
不 |
不 |
不適用 |
不適用 |
不適用 |
資源 |
不 |
不 |
是的 |
是的 |
不 |
插件安裝/解除安裝 |
不 |
不適用 |
不適用 |
不適用 |
不適用 |
遷移 |
不 |
不適用 |
不適用 |
不適用 |
不適用 |
山 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
解除安裝 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
全卷還原 |
不 |
不適用 |
不適用 |
不適用 |
不適用 |
二級保護 |
不 |
不適用 |
不適用 |
不適用 |
不適用 |
作業監視器 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
基礎設施管理員角色
基礎設施管理員角色具有主機管理、儲存管理、配置、資源群組、遠端安裝報告和儀表板存取的權限。
| 權限 | 已啟用 | 創造 | 讀 | 更新 | 刪除 |
|---|---|---|---|---|---|
資源組 |
不適用 |
是的 |
是的 |
是的 |
是的 |
政策 |
不適用 |
不 |
是的 |
是的 |
是的 |
備份 |
不適用 |
是的 |
是的 |
是的 |
是的 |
主持人 |
不適用 |
是的 |
是的 |
是的 |
是的 |
儲存連接 |
不適用 |
是的 |
是的 |
是的 |
是的 |
複製 |
不適用 |
不 |
是的 |
不 |
不 |
條款 |
不適用 |
是的 |
是的 |
是的 |
是的 |
儀表板 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
報告 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
恢復 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
資源 |
是的 |
是的 |
是的 |
是的 |
是的 |
插件安裝/解除安裝 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
遷移 |
不 |
不適用 |
不適用 |
不適用 |
不適用 |
山 |
不 |
不適用 |
不適用 |
不適用 |
不適用 |
解除安裝 |
不 |
不適用 |
不適用 |
不適用 |
不適用 |
全卷還原 |
不 |
不 |
不適用 |
不適用 |
不適用 |
二級保護 |
不 |
不 |
不適用 |
不適用 |
不適用 |
作業監視器 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |