エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9.14

to English version

保護された操作ルールの管理

マルチ管理者認証(MAV)ルールを作成して、承認が必要な処理を指定します。保護対象処理が開始されると、処理が傍受され、承認要求が生成されます。

ルールは、MAVを有効にする前であれば、適切なRBAC機能を持つ任意の管理者が作成できますが、MAVを有効にしたあとにルール セットを変更するにはMAVの承認が必要です。

ONTAP 9.11.1以降では、次のコマンドに対してルールを作成できます。

cluster peer delete

event config modify

security login create

security login delete

security login modify

system node run

system node systemshell

volume delete

volume flexcache delete

volume snapshot autodelete modify

volume snapshot delete

volume snapshot policy add-schedule

volume snapshot policy create

volume snapshot policy delete

volume snapshot policy modify

volume snapshot policy modify-schedule

volume snapshot policy remove-schedule

volume snapshot restore

vserver peer delete

ONTAP 9.13.1以降では、次のコマンドに対してルールを作成できます。

  • volume snaplock modify

また、MAVが有効な場合、以下のコマンドはデフォルトで保護されますが、ルールを変更して保護を解除できます。

  • security login password

  • security login unlock

  • set

ONTAP 9.14.1以降では、次のコマンドを保護するルールを作成できます。

  • volume recovery-queue modify

  • volume recovery-queue purge

  • volume recovery-queue purge-all

  • vserver modify

MAVのシステム デフォルト コマンド(security multi-admin-verifyコマンド)のルールは変更できません。

ルールを作成する際には、必要に応じて-queryオプションを指定し、要求を一部のコマンド機能に制限できます。たとえば、デフォルトのsetコマンドでは-query-privilege diagに設定されており、setコマンドの要求は-privilege diagが指定された場合にのみ生成されます。

smci-vsim20::> security multi-admin-verify rule show
                                               Required  Approval
Vserver Operation                              Approvers Groups
------- -------------------------------------- --------- -------------
vs01    set                                    -         -
          Query: -privilege diagnostic

デフォルトでは、ルールには、保護対象処理が入力されると対応するsecurity multi-admin-verify request create “protected_operation”コマンドが自動的に生成されるように指定されます。この設定を変更して、request createコマンドを個別に入力するよう要求できます。

デフォルトでは、ルールは次のグローバルMAV設定を継承しますが、ルール固有の例外を指定できます。

  • 必要な承認者数

  • 承認グループ

  • 承認の有効期限

  • 実行の有効期限

ONTAP System Managerの手順

保護対象処理ルールを初めて追加する場合は、ONTAP System Managerの手順を参照して、マルチ管理者認証を有効にしてください。

既存のルール セットを変更するには、次の手順を実行します。

  1. [クラスター] > [設定] を選択します。

  2. [セキュリティ] セクションの [マルチ管理者承認] の横にあるgear iconを選択します。

  3. 追加アイコンを選択して、少なくとも1つルールを追加します。既存のルールを変更または削除することもできます。

    • Operation – サポートされているコマンドをリストから選択します。

    • Query – 必要なコマンド オプションと値を入力します。

    • オプションのパラメーター:グローバル設定を適用する場合は、空白のままにします。グローバル設定を上書きする場合は、特定のルールに対して別の値を割り当てます。

      • 必要な承認者数

      • 承認グループ

CLIの手順

security multi-admin-verify rule showを除くすべてのsecurity multi-admin-verify ruleコマンドは、実行前にMAV管理者の承認が必要です。
状況 入力するコマンド

ルールを作成する

security multi-admin-verify rule create -operation “protected_operation” [-query operation_subset] [parameters]

現在の管理者のクレデンシャルを変更する

security login modify <parameters>

:次のルールは、ルート ボリュームの削除に承認を必要とします。

security multi-admin-verify rule create -operation "volume delete" -query "-vserver vs0

ルールを変更する

security multi-admin-verify rule modify -operation “protected_operation” [parameters]

ルールを削除する

security multi-admin-verify rule delete -operation “protected_operation”

ルールを表示する

security multi-admin-verify rule show

コマンド構文の詳細については、security multi-admin-verify ruleのマニュアル ページを参照してください。

Top of Page