ONTAP ロールとユーザー
NetApp ONTAP には、堅牢で拡張可能なロールベースのアクセスコントロール (RBAC) 機能が含まれています。ONTAP ロールは、ONTAP CLI および REST API を使用する際にユーザーの機能と権限を定義します。各ロールは、異なるレベルの管理機能と権限を定義します。ONTAP REST API と CLI を使用する際に、FSx for ONTAP リソースへのアクセスを制御する目的で、ユーザーにロールを割り当てます。FSx for ONTAP ファイルシステムユーザーとストレージ仮想マシン (SVM) ユーザーには、個別に使用できる ONTAP ロールがあります。
FSx for ONTAP ファイルシステムを作成すると、ファイルシステムレベルと SVM レベルでデフォルトの ONTAP ユーザーが作成されます。追加のファイルシステムと SVM ユーザーを作成し、組織のニーズに合った追加の SVM ロールを作成できます。この章では、ONTAP ユーザーとロールについて説明し、追加のユーザーと SVM ロールを作成する詳細な手順について説明します。
ファイルシステム管理者のロールとユーザー
デフォルトの ONTAP ファイルシステムユーザーは fsxadmin で、fsxadmin ロールが割り当てられます。ファイルシステムユーザーに割り当てることができる事前定義済みのロールは 2 つあり、次のように表示されます。
-
fsxadmin— このロールを持つ管理者には、ONTAP システムに対する無制限の権限があります。FSx for ONTAP ファイルシステムで使用できるすべてのファイルシステムと SVM レベルのリソースを設定できます。 fsxadmin-readonly— このロールを持つ管理者は、ファイルシステムレベルですべてを表示できますが、変更を加えることはできません。このロールは、利用可能なすべてのリソースとそのプロパティへの読み取り専用アクセスを持ちますが、変更を加えることができないため、NetApp Harvest などのモニタリングアプリケーションでの使用に適しています。
追加のファイルシステムユーザーを作成し、fsxadmin または fsxadmin-readonly ロールを割り当てることができます。新しいロールを作成したり、既存のロールを変更したりすることはできません。詳細については、「ファイルシステムと SVM 管理用の新しい ONTAP ユーザーの作成」を参照してください。
次の表は、ファイルシステム管理者ロールが ONTAP CLI および REST API コマンドとコマンドディレクトリに対して持つアクセスレベルを示しています。
| ロール名 | アクセスのレベル | 次のコマンドまたはコマンドディレクトリへ |
|---|---|---|
|
|
すべて | FSx for ONTAP で利用可能なすべてのコマンドディレクトリ |
|
すべて |
独自のユーザーアカウントのローカルパスワードとキー情報のみを管理する場合 |
| なし | security |
|
| readonly | FSx for ONTAP で利用可能な他のすべてのコマンドディレクトリ |
SVM 管理者ロールとユーザー
各 SVM には個別の認証ドメインがあり、独自の管理者によって個別に管理できます。ファイルシステム上の各 SVM には、vsadmin というデフォルトユーザーがいます。このユーザーには vsadmin ロールがデフォルトで割り当てられています。vsadmin ロールに加えて、SVM ユーザーに割り当てることができるスコープダウンアクセス許可を提供する事前定義された SVM ロールもあります。また、組織のニーズを満たすアクセスコントロールのレベルを提供するカスタムロールを作成することもできます。
SVM 管理者とその機能の事前定義されたロールは次のとおりです。
| ロール名 | 機能 |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
新しい SVM の作成方法の詳細については、「SVM ロールの作成」を参照してください。
Active Directory を使用した ONTAP ユーザーの認証
Windows Active Directory ドメインユーザーの FSx for ONTAP ファイルシステムと SVM へのアクセスを認証できます。Active Directory アカウントがファイルシステムにアクセスする前に、次のタスクを実行する必要があります。
SVM への Active Directory ドメインコントローラーアクセスを設定する必要があります。
Active Directory ドメインコントローラーアクセスのゲートウェイまたはトンネルとして設定するために使用する SVM は、CIFS が有効になっているか、Active Directory に参加しているか、またはその両方である必要があります。CIFS を有効にせず、トンネル SVM を Active Directory に結合するだけの場合は、SVM が Active Directory に結合されたことを確認してください。詳細については、「SVM を Microsoft Active Directory に接続する仕組み」を参照してください。
ファイルシステムにアクセスするには、Active Directory ドメインユーザーアカウントを有効にする必要があります。
ONTAP CLI または REST API にアクセスする Windows ドメインユーザーは、パスワード認証または SSH パブリックキー認証を使用できます。
ファイルシステムおよび SVM 管理者の Active Directory 認証の設定に使用する手順については、「ONTAP ユーザーの Active Directory 認証の設定」を参照してください。
ファイルシステムと SVM 管理用の新しい ONTAP ユーザーの作成
各 ONTAP ユーザーは SVM またはファイルシステムに関連付けられています。fsxadmin ロールを持つファイルシステムユーザーは、security login create
security login create コマンドは、管理ユーティリティのログイン方法を作成します。ログイン方法は、ユーザー名、アプリケーション (アクセス方法)、および認証方法で構成されます。ユーザー名は、複数のアプリケーションに関連付けることができます。オプションで、アクセスコントロールロール名を含めることができます。Active Directory、LDAP、または NIS グループ名が使用されている場合、ログインメソッドは指定されたグループに属するユーザーにアクセス権を付与します。ユーザーがセキュリティログインテーブルでプロビジョニングされた複数のグループのメンバーである場合、ユーザーは個々のグループに対して承認されたコマンドの組み合わせリストにアクセスできます。
新しい ONTAP ユーザーを作成する方法については、「ONTAP ユーザーの作成」を参照してください。
トピック
