SnapCenter 中的角色型存取控制
建議變更
PDF
SnapCenter基於角色的存取控制 (RBAC) 和ONTAP權限允許SnapCenter管理員向使用者或群組指派資源存取權。這種集中管理的存取使應用程式管理員能夠在指定環境中安全地工作。
您應該建立或修改角色並為使用者新增資源存取權。首次設定SnapCenter時,將 Active Directory 使用者或群組新增至角色並將資源指派給這些使用者或群組。
|
SnapCenter不會建立使用者或群組帳戶。在作業系統或資料庫的 Active Directory 中建立使用者或群組帳戶。 |
SnapCenter 中的 RBAC 類型
SnapCenter支援以下類型的角色為基礎的存取控制:
-
RBAC SnapCenter
-
應用程式層級RBAC
-
適用於 VMware vSphere RBAC 的 SnapCenter 外掛程式
-
權限ONTAP
RBAC SnapCenter
SnapCenter具有預先定義的角色,您可以將使用者或群組指派給這些角色。
-
系統管理員角色SnapCenter
-
應用程式備份與複製管理員角色
-
備份與複製檢視器角色
-
基礎架構管理員角色
當您為使用者指派角色時, SnapCenter會在「作業」頁面上顯示與該使用者相關的作業,除非該使用者有 SnapCenterAdmin 角色。
您也可以建立新角色、並管理權限和使用者。您可以指派權限給使用者或群組、以存取SnapCenter 諸如主機、儲存連線和資源群組等物件。
您可以將RBAC權限指派給同一個樹系中的使用者和群組、以及屬於不同樹系的使用者。您無法將RBAC權限指派給跨樹系屬於巢狀群組的使用者。
|
|
建立自訂角色時,請確保它包含 SnapCenterAdmin 角色的所有權限。如果您僅複製部分權限, SnapCenter將阻止您執行所有操作。 |
使用者透過使用者介面或 PowerShell cmdlet 登入時必須進行身份驗證。如果使用者有多個角色,則登入後選擇一個角色。運行 API 也需要身份驗證。
應用程式層級RBAC
使用認證資料來驗證獲授權的使用者是否也擁有應用程式層級的權限。SnapCenter SnapCenter
例如,若要在 SQL Server 環境中執行資料保護操作,請設定正確的 Windows 或 SQL 憑證。如果要在ONTAP儲存上的 Windows 檔案系統環境中執行資料保護操作, SnapCenter管理員角色必須在 Windows 主機上具有管理員權限。
同樣,如果您想在 Oracle 資料庫上執行資料保護操作,並且如果資料庫主機上停用了作業系統 (OS) 驗證,則必須使用 Oracle 資料庫或 Oracle ASM 憑證設定憑證。 SnapCenter伺服器根據操作使用其中一種方法對設定的憑證進行身份驗證。
VMware vSphere RBAC的插件SnapCenter
如果您使用SnapCenter VMware vCenter外掛程式來提供VM一致的資料保護、vCenter Server會提供額外的RBAC層級。SnapCenter VMware 外掛程式支援 vCenter Server RBAC 和 ONTAP RBAC 。 "深入瞭解"
注意: NetApp建議您為SnapCenter Plug-in for VMware vSphere建立ONTAP角色,並為其指派所有必要的權限。
權限ONTAP
您應該建立具有存取儲存系統所需權限的 vsadmin 帳戶。"深入瞭解"
指派給預先定義的 SnapCenter 角色的權限
將使用者新增至角色時,指派 StorageConnection 權限以啟用儲存虛擬機器 (SVM) 通信,或將 SVM 指派給使用者以授予使用 SVM 的權限。儲存連線權限允許使用者建立 SVM 連線。
例如, SnapCenter管理員可以建立 SVM 連線並將其指派給 App Backup 和 Clone Admin 用戶,而這些用戶無法建立或編輯 SVM 連線。如果沒有 SVM 連接,使用者就無法執行備份、複製或復原作業。
系統管理員角色SnapCenter
「支援管理員」角色已啟用所有權限。SnapCenter您無法修改此角色的權限。您可以將使用者和群組新增至角色、或將其移除。
應用程式備份與複製管理員角色
應用程式備份與複製管理角色擁有執行應用程式備份與複製相關工作之管理動作所需的權限。此角色沒有主機管理、資源配置、儲存連線管理或遠端安裝的權限。
| 權限 | 已啟用 | 建立 | 讀取 | 更新 | 刪除 |
|---|---|---|---|---|---|
資源群組 |
不適用 |
是的 |
是的 |
是的 |
是的 |
原則 |
不適用 |
是的 |
是的 |
是的 |
是的 |
備份 |
不適用 |
是的 |
是的 |
是的 |
是的 |
主機 |
不適用 |
是的 |
是的 |
是的 |
是的 |
儲存連線 |
不適用 |
否 |
是的 |
否 |
否 |
複製 |
不適用 |
是的 |
是的 |
是的 |
是的 |
資源配置 |
不適用 |
否 |
是的 |
否 |
否 |
儀表板 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
報告 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
還原 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
資源 |
是的 |
是的 |
是的 |
是的 |
是的 |
外掛程式安裝/解除安裝 |
否 |
不適用 |
不適用 |
不適用 |
|
移轉 |
否 |
不適用 |
不適用 |
不適用 |
不適用 |
掛載 |
是的 |
是的 |
不適用 |
不適用 |
不適用 |
卸載 |
是的 |
是的 |
不適用 |
不適用 |
不適用 |
完整Volume還原 |
否 |
否 |
不適用 |
不適用 |
不適用 |
輔助保護 |
否 |
否 |
不適用 |
不適用 |
不適用 |
工作監控 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
備份與複製檢視器角色
備份和克隆查看者角色具有所有權限的唯讀檢視。此角色還具有發現、報告和存取儀表板的權限。
| 權限 | 已啟用 | 建立 | 讀取 | 更新 | 刪除 |
|---|---|---|---|---|---|
資源群組 |
不適用 |
否 |
是的 |
否 |
否 |
原則 |
不適用 |
否 |
是的 |
否 |
否 |
備份 |
不適用 |
否 |
是的 |
否 |
否 |
主機 |
不適用 |
否 |
是的 |
否 |
否 |
儲存連線 |
不適用 |
否 |
是的 |
否 |
否 |
複製 |
不適用 |
否 |
是的 |
否 |
否 |
資源配置 |
不適用 |
否 |
是的 |
否 |
否 |
儀表板 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
報告 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
還原 |
否 |
否 |
不適用 |
不適用 |
不適用 |
資源 |
否 |
否 |
是的 |
是的 |
否 |
外掛程式安裝/解除安裝 |
否 |
不適用 |
不適用 |
不適用 |
不適用 |
移轉 |
否 |
不適用 |
不適用 |
不適用 |
不適用 |
掛載 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
卸載 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
完整Volume還原 |
否 |
不適用 |
不適用 |
不適用 |
不適用 |
輔助保護 |
否 |
不適用 |
不適用 |
不適用 |
不適用 |
工作監控 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
基礎架構管理員角色
基礎架構管理員角色已啟用主機管理、儲存管理、資源配置、資源群組、遠端安裝報告、 並存取儀表板。
| 權限 | 已啟用 | 建立 | 讀取 | 更新 | 刪除 |
|---|---|---|---|---|---|
資源群組 |
不適用 |
是的 |
是的 |
是的 |
是的 |
原則 |
不適用 |
否 |
是的 |
是的 |
是的 |
備份 |
不適用 |
是的 |
是的 |
是的 |
是的 |
主機 |
不適用 |
是的 |
是的 |
是的 |
是的 |
儲存連線 |
不適用 |
是的 |
是的 |
是的 |
是的 |
複製 |
不適用 |
否 |
是的 |
否 |
否 |
資源配置 |
不適用 |
是的 |
是的 |
是的 |
是的 |
儀表板 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
報告 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
還原 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
資源 |
是的 |
是的 |
是的 |
是的 |
是的 |
外掛程式安裝/解除安裝 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |
移轉 |
否 |
不適用 |
不適用 |
不適用 |
不適用 |
掛載 |
否 |
不適用 |
不適用 |
不適用 |
不適用 |
卸載 |
否 |
不適用 |
不適用 |
不適用 |
不適用 |
完整Volume還原 |
否 |
否 |
不適用 |
不適用 |
不適用 |
輔助保護 |
否 |
否 |
不適用 |
不適用 |
不適用 |
工作監控 |
是的 |
不適用 |
不適用 |
不適用 |
不適用 |