エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

保護対象の処理ルールの管理

マルチ管理者認証(MAV)ルールを作成して、承認が必要な処理を指定します。保護対象処理が開始されると、処理が傍受され、承認要求が生成されます。

ルールは、MAVを有効にする前であれば、適切なRBAC機能を持つ任意の管理者が作成できますが、MAVを有効にしたあとにルール セットを変更するにはMAVの承認が必要です。

1つの処理に対して作成できるMAVルールは1つだけです。たとえば、複数のvolume-snapshot-deleteルールを作成することはできません。必要なルール制約は1つのルール内に含める必要があります。

これらのコマンドを保護するルールを作成できます。各コマンドは、コマンドの保護機能が最初に使用可能になったONTAPのバージョン以降で保護できます。

MAVのシステム デフォルト コマンド(security multi-admin-verifyコマンド)のルールは変更できません。

マルチ管理者認証を有効にすると、システム定義の処理に加えて次のコマンドもデフォルトで保護されます。ただし、ルールを変更してこれらのコマンドの保護を解除することができます。

  • security login password

  • security login unlock

  • set

ルールの制約

ルールを作成する際には、必要に応じて-queryオプションを指定し、要求を一部のコマンド機能に制限することができます。-queryオプションを使用すると、SVM、ボリューム、Snapshot名などの設定要素を制限することもできます。

たとえば、volume snapshot deleteコマンドで-query-snapshot !hourly*,!daily*,!weekly*に設定すると、hourly、daily、weeklyのいずれかの属性で始まるボリュームのSnapshotがMAV保護の対象から除外されます。

smci-vsim20::> security multi-admin-verify rule show
                                               Required  Approval
Vserver Operation                              Approvers Groups
------- -------------------------------------- --------- -------------
vs01    volume snapshot delete                 -         -
          Query: -snapshot !hourly*,!daily*,!weekly*
除外された設定要素はMAVによって保護されず、どの管理者も削除したり名前を変更したりすることができます。

デフォルトでは、ルールには、保護対象処理が入力されると対応するsecurity multi-admin-verify request create “protected_operation”コマンドが自動的に生成されるように指定されます。この設定を変更して、request createコマンドを個別に入力するよう要求できます。

デフォルトでは、ルールは次のグローバルMAV設定を継承しますが、ルール固有の例外を指定できます。

  • 必要な承認者数

  • 承認グループ

  • 承認の有効期限

  • 実行の有効期限

ONTAP System Managerの手順

保護対象処理ルールを初めて追加する場合は、ONTAP System Managerの手順を参照して、マルチ管理者認証を有効にしてください。

既存のルール セットを変更するには、次の手順を実行します。

  1. [クラスター] > [設定] を選択します。

  2. [セキュリティ] セクションの [マルチ管理者承認] の横にあるgear iconを選択します。

  3. 追加アイコンを選択して、少なくとも1つルールを追加します。既存のルールを変更または削除することもできます。

    • Operation – サポートされているコマンドをリストから選択します。

    • Query – 必要なコマンド オプションと値を入力します。

    • オプションのパラメーター:グローバル設定を適用する場合は、空白のままにします。グローバル設定を上書きする場合は、特定のルールに対して別の値を割り当てます。

      • 必要な承認者数

      • 承認グループ

CLIの手順

security multi-admin-verify rule showを除くすべてのsecurity multi-admin-verify ruleコマンドは、実行前にMAV管理者の承認が必要です。
目的 入力するコマンド

ルールを作成する

security multi-admin-verify rule create -operation “protected_operation” [-query operation_subset] [parameters]

現在の管理者のクレデンシャルを変更する

security login modify <parameters>

:次のルールは、ルート ボリュームの削除に承認を必要とします。

security multi-admin-verify rule create -operation "volume delete" -query "-vserver vs0"

ルールを変更する

security multi-admin-verify rule modify -operation “protected_operation” [parameters]

ルールを削除する

security multi-admin-verify rule delete -operation “protected_operation”

ルールを表示する

security multi-admin-verify rule show

コマンド構文の詳細については、security multi-admin-verify ruleのマニュアル ページを参照してください。

Top of Page