エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

ファイルシステム分析とロールベース アクセス制御

ONTAP 9.12.1以降には、admin-no-fsaという名前の事前定義されたロールベース アクセス制御(RBAC)ロールが含まれています。admin-no-fsaロールは管理者レベルの権限を付与しますが、ONTAP CLI、REST API、およびONTAP System Managerでfilesエンドポイントに関連する処理(ファイルシステム分析)を実行することはできません。

admin-no-fsaロールの詳細については、「クラスタ管理者の事前定義されたロール」を参照してください。

ONTAP 9.12.1より前のONTAPバージョンを使用している場合は、ファイルシステム分析へのアクセスを制御する専用のロールを作成する必要があります。ONTAP 9.12.1より前のバージョンのONTAPでは、ONTAP CLIまたはONTAP REST APIを使用してRBACの権限を設定する必要があります。

ONTAP System Manager

ONTAP 9.12.1以降では、ONTAP System Managerを使用してファイルシステム分析用のRBAC権限を設定できます。

手順
  1. [クラスター]>[設定] を選択します。[セキュリティ][ユーザとロール] に移動し、arrow iconを選択します。

  2. [ロール] で、add iconを選択します。

  3. ロールの名前を指定します。[ロール属性]で、適切なAPIエンドポイントを指定してユーザーロールのアクセスまたは制限を設定します。ファイルシステム分析のアクセスまたは制限を設定するには、プライマリー パスとセカンダリー パスについて次の表を参照してください。

    制限 プライマリー パス セカンダリー パス

    ボリュームでのアクティビティ追跡

    /api/storage/volumes

    • /:uuid/top-metrics/directories

    • /:uuid/top-metrics/files

    • /:uuid/top-metrics/clients

    • /:uuid/top-metrics/users

    SVMでのアクティビティ追跡

    /api/svm/svms

    • /:uuid/top-metrics/directories

    • /:uuid/top-metrics/files

    • /:uuid/top-metrics/clients

    • /:uuid/top-metrics/users

    すべてのファイルシステム分析処理

    /api/storage/volumes

    /:uuid/files

    UUIDの代わりに/*/を使用すると、そのエンドポイントのすべてのボリュームまたはSVMに対してポリシーを設定できます。

    各エンドポイントに対するアクセス権限を選択します。

  4. [保存]を選択します。

  5. ロールをユーザーに割り当てる手順は、「管理者アクセスの制御」を参照してください。

CLI

ONTAP 9.12.1より前にリリースされたONTAPバージョンを使用している場合は、ONTAP CLIを使用してカスタム ロールを作成します。

手順
  1. すべての機能にアクセスできるデフォルトのロールを作成します。

    このロールは、アクティビティ追跡のみにアクセスを制限したロールを作成する前に作成する必要があります。

    security login role create -cmddirname DEFAULT -access all -role storageAdmin

  2. 制限のあるロールを作成します。

    security login role create -cmddirname "volume file show-disk-usage" -access none -role storageAdmin

  3. SVMのWebサービスへのアクセスをロールに許可します。

    • rest:REST API呼び出し

    • security:パスワード保護

    • sysmgr:ONTAP System Managerのアクセス

      vserver services web access create -vserver svm-name -name_ -name rest -role storageAdmin

      vserver services web access create -vserver svm-name -name security -role storageAdmin

      vserver services web access create -vserver svm-name -name sysmgr -role storageAdmin

  4. ユーザーを作成します。

    ユーザーに適用するアプリケーションごとにcreateコマンドを実行する必要があります。同じユーザーに対してcreateを複数回呼び出すと、そのユーザーにそれぞれのアプリケーションが適用されます。毎回新しいユーザーが作成されることはありません。アプリケーション タイプのhttpパラメーターは、ONTAP REST APIとONTAP System Managerに適用されます。

    security login create -user-or-group-name storageUser -authentication-method password -application http -role storageAdmin

  5. 新しいユーザー クレデンシャルでONTAP System ManagerにログインするかONTAP REST APIを使用して、ファイルシステム分析のデータにアクセスできます。

Top of Page