SnapCenter Plug-in for VMware vSphere 5 ( CA08871-282 ~ 295 )
SnapCenter Plug-in for VMware vSphereユーザー用のRBACのタイプ
SnapCenter Plug-in for VMware vSphereを使用している場合、vCenter Serverでさらに細かくRBACを実装できます。このプラグインでは、vCenter Server RBACとONTAP RBACの両方がサポートされています。
vCenter Server RBAC
このセキュリティ メカニズムは、SnapCenter VMwareプラグインで実行されるすべてのジョブに適用されます。これらのジョブには、VM整合性、VMクラッシュ整合性、およびSnapCenter Serverアプリケーション整合性(application-over-VMDK)ジョブが含まれます。このレベルのRBACは、vSphereユーザーが仮想マシン(VM)やデータストアなどのvSphereオブジェクトに対してSnapCenter VMwareプラグイン タスクを実行する権限を制限します。
SnapCenter VMwareプラグイン環境では、vCenterでのSnapCenter処理用に次のロールが作成されます。
SCV Administrator
SCV Backup
SCV Guest File Restore
SCV Restore
SCV View
vSphere管理者は、次の手順でvCenter Server RBACを設定します。
-
vCenter Serverアクセス許可をルート オブジェクト(ルート フォルダー)に対して設定します。その後、アクセス許可が不要な子エンティティのアクセスを禁止することでセキュリティを強化できます。
-
Active DirectoryユーザーにSCVロールを割り当てます。
最低限、すべてのユーザーがvCenterオブジェクトを表示できる必要があります。この権限がないと、ユーザーはVMware vSphere Client GUIにアクセスできません。
ONTAP RBAC
このセキュリティ メカニズムは、SnapCenter Serverのアプリケーション整合性(application-over-VMDK)ジョブにのみ適用されます。このレベルでは、特定のストレージ システムに対して、特定のストレージ処理(データストアのストレージをバックアップするなど)を実行するSnapCenterの権限が制限されます。
ONTAPおよびSnapCenter RBACを設定するには、次のワークフローを使用します。
-
ストレージ管理者が、必要な権限を持つロールをStorage VM上で作成します。
-
次に、ストレージ管理者がそのロールをストレージ ユーザーに割り当てます。
-
SnapCenter管理者が、そのストレージ ユーザー名を使用して、Storage VMをSnapCenter Serverに追加します。
-
次に、SnapCenter管理者が、SnapCenterユーザーにロールを割り当てます。
RBAC権限の検証ワークフロー
次の図に、RBAC権限(vCenterとONTAPの両方)の検証ワークフローの概要を示します。