ONTAP tools for VMware vSphere 9.13
ONTAPストレージ システムとvSphereオブジェクトのアクセス許可
ONTAPのRBACを使用すると、特定のストレージ システムへのアクセスとそれらのストレージ システムで実行できる操作を制御できます。ONTAP® Tools for VMware vSphereでは、ONTAP RBACとvCenter Server RBACにより、特定のストレージ システムのオブジェクトに対して特定のユーザーが実行できるONTAP Toolsタスクが決まります。
ONTAP Toolsでは、各ストレージ システムの認証とそのストレージ システムで実行できるストレージ操作の判別に、ONTAP Toolsで設定したクレデンシャル(ユーザー名とパスワード)が使用されます。ストレージ システムごとに1組のクレデンシャルが使用され、そのクレデンシャルに基づいて、ストレージ システムで実行できるONTAP Toolsタスクが決まります。つまり、このクレデンシャルはONTAP Toolsのクレデンシャルであり、個々のONTAP Toolsユーザーに対するものではありません。
ONTAP RBACは、ストレージ システムへのアクセスとストレージ関連のONTAP Toolsタスク(仮想マシンのプロビジョニングなど)の実行にのみ適用されます。それぞれのストレージ システムに対する適切なONTAP RBAC権限がないと、そのストレージ システムでホストされるvSphereオブジェクトに対してタスクを実行することはできません。ONTAP RBACとONTAP Tools固有の権限を組み合わせることで、ユーザーが実行できるONTAP Toolsタスクを制御することができます。
-
ストレージまたはストレージ システムに格納されているvCenter Serverオブジェクトの監視と設定
-
ストレージ システムに格納されているvSphereオブジェクトのプロビジョニング
ONTAP RBACとONTAP Tools固有の権限を使用すると、ストレージ主体のセキュリティ レイヤーをストレージ管理者が管理できるようになります。これにより、ONTAP RBACまたはvCenter Server RBACのどちらか一方のアクセス制御だけを使用した場合に比べ、よりきめ細かい制御が可能になります。たとえば、vCenter Server RBACを使用して、弊社のストレージでのデータストアのプロビジョニングをvCenterUserBには許可し、vCenterUserAには許可しないように設定したとします。この場合、特定のストレージ システムのクレデンシャルに対してストレージの作成を禁止すれば、vCenterUserBとvCenterUserAのどちらもそのストレージ システムでデータストアのプロビジョニングを実行することはできません。
ONTAP Toolsタスクを開始すると、最初にそのタスクに対する正しいvCenter Serverアクセス許可がユーザーにあるかが検証されます。タスクを実行するための十分なvCenter Serverアクセス許可がなければ、最初のvCenter Serverのセキュリティ チェックをパスできないため、そのストレージ システムのONTAP権限は確認されません。そのため、ストレージ システムへのアクセスは許可されません。
十分なvCenter Serverアクセス許可がある場合は、次にストレージ システムのクレデンシャル(ユーザー名とパスワード)に関連付けられたONTAP RBAC権限(ONTAPロール)について、ONTAP Toolsタスクで必要なストレージ操作をそのストレージ システムで実行するための十分な権限があるかが確認されます。適切なONTAP権限があれば、ストレージ システムにアクセスしてONTAP Toolsタスクを実行できます。ストレージ システムで実行できるONTAP ToolsタスクはONTAPロールで決まります。
各ストレージ システムには、一連のONTAP権限が関連付けられます。
ONTAP RBACとvCenter Server RBACの両方を使用すると、次のような利点があります。
-
セキュリティ
どのユーザーがどのタスクを実行できるかを、vCenter Serverオブジェクト レベルおよびストレージ システム レベルで制御できます。
-
監査情報
多くの場合、ONTAP Toolsはストレージ システムについての監査証跡を提供します。これにより、ストレージに対して変更を行ったvCenter Serverユーザーまでさかのぼってイベントを追跡できます。
-
使いやすさ
コントローラーのクレデンシャルをすべて集約して一元管理できます。
ONTAP Tools for VMware vSphere使用時に推奨されるONTAPロール
ONTAP Tools for VMware vSphereとロールベース アクセス制御(RBAC)を使用する際に推奨されるいくつかのONTAPロールを設定できます。これらのロールには、ONTAP Toolsタスクで実行するストレージ処理に必要なONTAP権限が含まれています。
新しいユーザー ロールを作成するには、ONTAPを実行しているストレージ システムに管理者としてログインする必要があります。ONTAP System Manager 9.8P1以降を使用して、ONTAPロールを作成できます。 詳細については、ユーザー ロールと権限の設定を参照してください。
各ONTAPロールには、ロールのクレデンシャルを構成するユーザー名とパスワードのペアが関連付けられています。このクレデンシャルを使用してログインしない場合は、ロールに関連付けられたストレージ処理にアクセスできません。
セキュリティ上の理由から、ONTAP Tools固有のONTAPロールは階層構造になっています。最初のロールは最も制限のあるロールで、ONTAP Toolsの最も基本的なストレージ処理に関連する権限だけを含みます。次のロールには、そのロール独自の権限と、前のロールに関連付けられているすべての権限が含まれます。以降、上位のロールほど制限が少なく、より多くのストレージ処理をサポートします。
ONTAP Toolsを使用する際に推奨されるONTAP RBACロールのいくつかを次に示します。ロールを作成したら、仮想マシンのプロビジョニングなど、ストレージに関するタスクを実行する必要があるユーザーにそのロールを割り当てることができます。
-
Discovery
ストレージ システムを追加できます。
-
Create Storage
ストレージを作成できます。また、Discoveryロールに関連付けられているすべての権限が含まれます。
-
Modify Storage
ストレージを変更できます。また、DiscoveryロールとCreate Storageロールに関連付けられているすべての権限が含まれます。
-
Destroy Storage
ストレージを破棄できます。また、Discoveryロール、Create Storageロール、Modify Storageロールに関連付けられているすべての権限が含まれます。
VASA Provider for ONTAPを使用する場合は、Policy-Based Management(PBM;ポリシーベース管理)ロールも設定します。ストレージ ポリシーを使用してストレージを管理できます。このロールを使用するには、「Discovery」ロールも設定する必要があります。