Data ONTAPには、クラスタとStorage Virtual Machine(SVM)の管理者用に事前定義されたアクセス制御ロールがあります。クラスタまたはSVM用に追加のアクセス制御ロールを作成して、特定のコマンドまたはコマンド ディレクトリへのロールのアクセスをカスタマイズできます。 特定のアクセス用のロールをカスタマイズするときは、いくつかの考慮事項があります。
これは、ロールが属する管理SVM(クラスタ)またはデータSVMの名前です。
権限は、ロールのアクセス レベルを指定するコマンド(組み込みまたは非組み込み)またはコマンド ディレクトリです。
ロールのカスタマイズに関しては、組み込みコマンドは末尾にcreate、modify、delete、またはshowがあるすべてのコマンドのことです。他のコマンドはすべて非組み込みコマンドと呼ばれます。
アクセス レベルには、all、readonly、またはnoneを指定できます。
アクセス レベルの指定方法は、付与する権限がコマンドとコマンド ディレクトリのどちらかであるかと、コマンドの場合はコマンドが組み込みと非組み込みのどちらであるかによって異なります。
ロールに付与する権限 | 指定するアクセス レベル | 効果 |
---|---|---|
コマンド ディレクトリ | all | ロールは、指定したディレクトリとそのサブディレクトリ(存在する場合)にアクセスでき、ディレクトリとサブディレクトリ内のすべてのコマンドを実行できます。 |
readonly | ロールは、指定したディレクトリとそのサブディレクトリ(存在する場合)に読み取り専用でアクセスできます。
この組み合わせでは、ロールのアクセスは、指定したディレクトリとサブディレクトリ内のshowコマンドのみに制限されます。 ディレクトリ内の他のすべてのコマンドには、ロールはアクセスできません。 |
|
none | ロールは、指定したディレクトリ、そのサブディレクトリ、およびコマンドにアクセスできません。 |
たとえば、次のコマンドでは、「vs1」 SVMの「vol_role」ロールに、volumeディレクトリ、その全サブディレクトリ、およびディレクトリとサブディレクトリ内のコマンドへのallアクセスが付与されます。
security login role create -vserver vs1 -role vol_role -cmddirname "volume" -access all
親ディレクトリに特定のアクセス レベルが指定されていて、そのサブディレクトリに別のアクセス レベルが指定されている場合、サブディレクトリに指定されているアクセス レベルが親ディレクトリのアクセス レベルより優先されます。
たとえば、次のコマンドでは、「vs1」 SVMの「vol_role」ロールに、volumeディレクトリとそのサブディレクトリ内のコマンドへのallアクセスが付与されますが、volume snapshotサブディレクトリは例外であり、このサブディレクトリへのロールのアクセスはreadonlyに制限されます。
security login role create -vserver vs1 -role vol_role -cmddirname "volume" -access all security login role create -vserver vs1 -role vol_role -cmddirname "volume snapshot" -access readonly
ロールに付与する権限 | 指定するアクセス レベル | 効果 |
---|---|---|
組み込みコマンド(末尾がcreate、modify、delete、またはshowのコマンド) | all | 無効な組み合わせです。組み込みコマンドにはアクセス レベルを指定できません。アクセス レベルは、組み込みコマンドのディレクトリに指定する必要があります。 |
readonly | ||
none | ||
非組み込みコマンド | all | ロールは、指定したコマンドを実行できます。 |
readonly | 無効な組み合わせです。readonlyアクセスは、コマンド レベルでは付与できません。ディレクトリ レベルで指定する必要があります。 | |
none | ロールは、指定したコマンドにはアクセスできません。 |
たとえば、次のコマンドでは、「vs1」 SVMの「ssl_role」ロールがsecurity sslディレクトリ内のsecurity ssl showコマンドにアクセスできるようになりますが、このディレクトリ内の他のコマンドにはアクセスできません。
security login role create -vserver vs1 -role ssl_role -cmddirname "security ssl" -access readonly
次の例では、最初の4つのコマンドは、コマンド ディレクトリを使用して「cluster1」クラスタの「login_role」ロールのアクセスをsecurity login show組み込みコマンドに制限し、最後の2つのコマンドは、ロールにsecurity login passwordおよびsecurity login role show-ontapi非組み込みコマンドへの追加のアクセスを付与しています。このロールは、security loginディレクトリ内の他のコマンドにはアクセスできません。
security login role create -vserver cluster1 -role login_role -cmddirname "security login" -access readonly security login role create -vserver cluster1 -role login_role -cmddirname "security login domain-tunnel" -access none security login role create -vserver cluster1 -role login_role -cmddirname "security login publickey" -access none security login role create -vserver cluster1 -role login_role -cmddirname "security login role" -access none security login role create -vserver cluster1 -role login_role -cmddirname "security login password" -access all security login role create -vserver cluster1 -role login_role -cmddirname "security login role show-ontapi" -access all
たとえば、次のコマンドでは、「vs1」 SVMの「guest_role」ロールに、アカウント パスワードを変更する権限が付与されます。
security login role create -vserver vs1 -role guest_role -cmddirname "security login password" -access all
たとえば、ライセンスを管理する権限があるのはクラスタ管理者のみであるため、SVMロールにsystem licenseディレクトリまたはこのディレクトリのコマンドへのアクセスを付与することはできません。 あるコマンドにSVM管理者がアクセスできるかどうかは、マニュアル ページを参照してください。