エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

ストレージレベルのアクセス保護を使用したファイル アクセスの保護

ネイティブ ファイルレベルのセキュリティとエクスポートおよび共有のセキュリティを使用したアクセスの保護に加えて、ボリューム レベルでONTAPによって適用される第3のセキュリティ レイヤーとしてストレージレベルのアクセス保護を設定できます。ストレージレベルのアクセス保護は、すべてのNASプロトコルからその適用先となるストレージ オブジェクトへのアクセスに適用されます。

NTFSのアクセス権のみがサポートされています。ONTAPがストレージレベルのアクセス保護が適用されているボリューム上のデータにアクセスするUNIXユーザーのセキュリティ チェックを行うには、UNIXユーザーがボリュームを所有するSVM上のWindowsユーザーにマッピングされている必要があります。

ストレージレベルのアクセス保護の動作

  • ストレージレベルのアクセス保護は、ストレージ オブジェクト内のすべてのファイルまたはすべてのディレクトリーに適用されます。

    ボリューム内のすべてのファイルまたはディレクトリーがストレージレベルのアクセス保護設定の影響を受けるため、伝播による継承は必要ありません。

  • ストレージレベルのアクセス保護は、ボリューム内にある、ファイルのみ、ディレクトリーのみ、またはファイルとディレクトリーの両方に適用されるように設定できます。

    • ファイルとディレクトリーのセキュリティ

      ストレージ オブジェクト内のすべてのディレクトリーおよびファイルに適用されます。これがデフォルト設定です。

    • ファイル セキュリティ

      ストレージ オブジェクト内のすべてのファイルに適用されます。このセキュリティを適用しても、ディレクトリーへのアクセスとディレクトリーの監査は影響を受けません。

    • ディレクトリー セキュリティ

      ストレージ オブジェクト内のすべてのディレクトリーに適用されます。このセキュリティを適用しても、ファイルへのアクセスとファイルの監査は影響を受けません。

  • ストレージレベルのアクセス保護は、権限の制限に使用します。

    これによってアクセス権が追加されることはありません。

  • NFSまたはSMBクライアントからファイルまたはディレクトリーのセキュリティ設定を表示した場合、ストレージレベルのアクセス保護のセキュリティは表示されません。

    このセキュリティは、有効な権限を決定するために、ストレージ オブジェクト レベルで適用され、メタデータ内に格納されます。

  • システム(WindowsまたはUNIX)管理者であっても、ストレージレベルのセキュリティをクライアントから取り消すことはできません。

    このセキュリティは、ストレージ管理者のみが変更できるように設計されています。

  • ストレージレベルのアクセス保護は、NTFSまたはmixedセキュリティ形式のボリュームに適用できます。

  • ストレージレベルのアクセス保護をUNIXセキュリティ形式のボリュームに適用できるのは、そのボリュームが含まれているSVMでCIFSサーバーが設定されている場合に限られます。

  • あるボリューム ジャンクション パスにストレージレベルのアクセス保護が適用されている場合、そのパスの下にマウントされているボリュームには保護は伝播されません。

  • ストレージレベルのアクセス保護のセキュリティ記述子は、SnapMirrorデータ レプリケーションおよびSVMレプリケーションによってレプリケートされます。

  • ウィルス スキャンについては特別な免除があります。

    ファイルやディレクトリーのスクリーニングを行うこうしたサーバーに対しては、ストレージレベルのアクセス保護によってそのオブジェクトへのアクセスが拒否されている場合でも、例外的なアクセスが許可されます。

  • ストレージレベルのアクセス保護によってアクセスが拒否された場合、FPolicy通知は送信されません。

アクセス チェックの順序

ファイルまたはディレクトリーへのアクセスは、エクスポートまたは共有の権限、ボリュームで設定されているストレージレベルのアクセス保護権限、ファイルやディレクトリーに適用されるネイティブのファイル アクセス権の各影響の組み合わせによって決定されます。すべてのレベルのセキュリティが評価されて、ファイルまたはディレクトリーの有効な権限が決定されます。セキュリティ アクセス チェックは、次の順序で実行されます。

  1. SMB共有またはNFSエクスポートレベルの権限

  2. ストレージレベルのアクセス保護

  3. NTFSのファイルやフォルダーのアクセス制御リスト(ACL)、NFSv4 ACL、またはUNIXモードのビット

Top of Page