エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP tools for VMware vSphere 9.13

to English version

ONTAPストレージ システムとvSphereオブジェクトのアクセス許可

ONTAPのRBACを使用すると、特定のストレージ システムへのアクセスとそれらのストレージ システムで実行できる操作を制御できます。ONTAP® Tools for VMware vSphereでは、ONTAP RBACとvCenter Server RBACにより、特定のストレージ システムのオブジェクトに対して特定のユーザーが実行できるONTAP Toolsタスクが決まります。

ONTAP Toolsでは、各ストレージ システムの認証とそのストレージ システムで実行できるストレージ操作の判別に、ONTAP Toolsで設定したクレデンシャル(ユーザー名とパスワード)が使用されます。ストレージ システムごとに1組のクレデンシャルが使用され、そのクレデンシャルに基づいて、ストレージ システムで実行できるONTAP Toolsタスクが決まります。つまり、このクレデンシャルはONTAP Toolsのクレデンシャルであり、個々のONTAP Toolsユーザーに対するものではありません。

ONTAP RBACは、ストレージ システムへのアクセスとストレージ関連のONTAP Toolsタスク(仮想マシンのプロビジョニングなど)の実行にのみ適用されます。それぞれのストレージ システムに対する適切なONTAP RBAC権限がないと、そのストレージ システムでホストされるvSphereオブジェクトに対してタスクを実行することはできません。ONTAP RBACとONTAP Tools固有の権限を組み合わせることで、ユーザーが実行できるONTAP Toolsタスクを制御することができます。

  • ストレージまたはストレージ システムに格納されているvCenter Serverオブジェクトの監視と設定

  • ストレージ システムに格納されているvSphereオブジェクトのプロビジョニング

ONTAP RBACとONTAP Tools固有の権限を使用すると、ストレージ主体のセキュリティ レイヤーをストレージ管理者が管理できるようになります。これにより、ONTAP RBACまたはvCenter Server RBACのどちらか一方のアクセス制御だけを使用した場合に比べ、よりきめ細かい制御が可能になります。たとえば、vCenter Server RBACを使用して、弊社のストレージでのデータストアのプロビジョニングをvCenterUserBには許可し、vCenterUserAには許可しないように設定したとします。この場合、特定のストレージ システムのクレデンシャルに対してストレージの作成を禁止すれば、vCenterUserBとvCenterUserAのどちらもそのストレージ システムでデータストアのプロビジョニングを実行することはできません。

ONTAP Toolsタスクを開始すると、最初にそのタスクに対する正しいvCenter Serverアクセス許可がユーザーにあるかが検証されます。タスクを実行するための十分なvCenter Serverアクセス許可がなければ、最初のvCenter Serverのセキュリティ チェックをパスできないため、そのストレージ システムのONTAP権限は確認されません。そのため、ストレージ システムへのアクセスは許可されません。

十分なvCenter Serverアクセス許可がある場合は、次にストレージ システムのクレデンシャル(ユーザー名とパスワード)に関連付けられたONTAP RBAC権限(ONTAPロール)について、ONTAP Toolsタスクで必要なストレージ操作をそのストレージ システムで実行するための十分な権限があるかが確認されます。適切なONTAP権限があれば、ストレージ システムにアクセスしてONTAP Toolsタスクを実行できます。ストレージ システムで実行できるONTAP ToolsタスクはONTAPロールで決まります。

各ストレージ システムには、一連のONTAP権限が関連付けられます。

ONTAP RBACとvCenter Server RBACの両方を使用すると、次のような利点があります。

  • セキュリティ

    どのユーザーがどのタスクを実行できるかを、vCenter Serverオブジェクト レベルおよびストレージ システム レベルで制御できます。

  • 監査情報

    多くの場合、ONTAP Toolsはストレージ システムについての監査証跡を提供します。これにより、ストレージに対して変更を行ったvCenter Serverユーザーまでさかのぼってイベントを追跡できます。

  • 使いやすさ

    コントローラーのクレデンシャルをすべて集約して一元管理できます。

ONTAP Tools for VMware vSphere使用時に推奨されるONTAPロール

ONTAP Tools for VMware vSphereとロールベース アクセス制御(RBAC)を使用する際に推奨されるいくつかのONTAPロールを設定できます。これらのロールには、ONTAP Toolsタスクで実行するストレージ処理に必要なONTAP権限が含まれています。

新しいユーザー ロールを作成するには、ONTAPを実行しているストレージ システムに管理者としてログインする必要があります。ONTAP System Manager 9.8P1以降を使用して、ONTAPロールを作成できます。 詳細については、ユーザー ロールと権限の設定を参照してください。

各ONTAPロールには、ロールのクレデンシャルを構成するユーザー名とパスワードのペアが関連付けられています。このクレデンシャルを使用してログインしない場合は、ロールに関連付けられたストレージ処理にアクセスできません。

セキュリティ上の理由から、ONTAP Tools固有のONTAPロールは階層構造になっています。最初のロールは最も制限のあるロールで、ONTAP Toolsの最も基本的なストレージ処理に関連する権限だけを含みます。次のロールには、そのロール独自の権限と、前のロールに関連付けられているすべての権限が含まれます。以降、上位のロールほど制限が少なく、より多くのストレージ処理をサポートします。

ONTAP Toolsを使用する際に推奨されるONTAP RBACロールのいくつかを次に示します。ロールを作成したら、仮想マシンのプロビジョニングなど、ストレージに関するタスクを実行する必要があるユーザーにそのロールを割り当てることができます。

  1. Discovery

    ストレージ システムを追加できます。

  2. Create Storage

    ストレージを作成できます。また、Discoveryロールに関連付けられているすべての権限が含まれます。

  3. Modify Storage

    ストレージを変更できます。また、DiscoveryロールとCreate Storageロールに関連付けられているすべての権限が含まれます。

  4. Destroy Storage

    ストレージを破棄できます。また、Discoveryロール、Create Storageロール、Modify Storageロールに関連付けられているすべての権限が含まれます。

VASA Provider for ONTAPを使用する場合は、Policy-Based Management(PBM;ポリシーベース管理)ロールも設定します。ストレージ ポリシーを使用してストレージを管理できます。このロールを使用するには、「Discovery」ロールも設定する必要があります。

Top of Page