适用于 ONTAP 的 Amazon FSx 中的角色和用户 NetApp - FSx for ONTAP
文件系统管理员角色和用户SVM 管理员角色和用户使用活动目录对ONTAP用户进行身份验证为文件系统和 SVM 管理创建新ONTAP用户
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 ONTAP 的 Amazon FSx 中的角色和用户 NetApp

NetApp ONTAP包括强大且可扩展的基于角色的访问控制 (RBAC) 功能。 ONTAP角色定义了使用 CLI 和 REST AP ONTAP I 时的用户能力和权限。每个角色定义不同的管理权能和权限级别。您可以为用户分配角色,以便在使用 R ONTAP EST API 和 CLI 时控制他们对 FSx for ONTAP 资源的访问权限。ONTAP 文件系统用户和存储虚拟机 (SVM) 用户分别有 FSx 可用的ONTAP角色。

在为 ONTAP 文件系统创建 FSx 时,将在文件系统级别和 SVM 级别创建默认ONTAP用户。您可以创建其他文件系统和 SVM 用户,也可以创建其他 SVM 角色以满足组织的需求。本章介绍ONTAP用户和角色,并提供创建其他用户和 SVM 角色的详细过程。

文件系统管理员角色和用户

默认ONTAP文件系统用户是fsxadmin,已为其分配了fsxadmin角色。您可以为文件系统用户分配两个预定义的角色,如下所示:

  • fsxadmin—具有此角色的管理员在系统中拥有不受限制的ONTAP权限。他们可以为 ONTAP 文件系统配置 FSx 上可用的所有文件系统和 SVM 级资源。

  • fsxadmin-readonly—具有此角色的管理员可以在文件系统级别查看所有内容,但不能进行任何更改。

    此角色非常适合与监视应用程序一起使用,例如NetApp Harvest因为它对所有可用资源及其属性具有只读访问权限,但无法对其进行任何更改。

您可以创建其他文件系统用户并为他们分配fsxadminfsxadmin-readonly角色。您无法创建新角色或修改现有角色。有关更多信息,请参阅 为文件系统和 SVM 管理创建新ONTAP用户

下表描述了文件系统管理员角色对 ONTAP CLI 和 REST API 命令和命令目录的访问级别。

角色名称 访问级别 到以下命令或命令目录

fsxadmin

 all 适用于 ONTAP 的 FSx 中所有可用的命令目录

fsxadmin-readonly

 all

security login password

仅用于管理自己的用户帐户、本地密码和密钥信息
none security
只读 适用于 ONTAP 的 FSx 中可用的所有其他命令目录

SVM 管理员角色和用户

每个 SVM 都有一个单独的身份验证域,可以由自己的管理员独立管理。对于文件系统上的每个 SVM,默认用户是 vsadmin,默认情况下会为其分配vsadmin角色。除角色外,还有其他预定义的 SVM 角色,这些角色提供限定范围的权限,您可以将这些权限分配给 SVM 用户。vsadmin您还可以创建自定义角色,以提供满足组织需求的访问控制级别。

SVM 管理员的预定义角色及其权限如下:

角色名称 功能

vsadmin

  • 管理您的用户账户、本地密码和密钥信息

  • 管理卷,但移动卷除外

  • 管理配额、qtree、快照副本和文件

  • 管理 LUN

  • 执行除特权删除之外的 SnapLock 操作

  • 配置协议:NFS、SMB 和 iSCSI

  • 配置服务:DNS、LDAP 和 NIS

  • 监控作业

  • 监控网络连接和网络接口

  • 监控 SVM 的运行状况

vsadmin-volume

  • 管理您的用户账户、本地密码和密钥信息

  • 管理卷,包括卷移动

  • 管理配额、qtree、快照副本和文件

  • 管理 LUN

  • 配置协议:NFS、SMB 和 iSCSI

  • 配置服务:DNS、LDAP 和 NIS

  • 监控网络接口

  • 监控 SVM 的运行状况

vsadmin-protocol

  • 管理您的用户账户、本地密码和密钥信息

  • 管理 LUN

  • 配置协议:NFS、SMB 和 iSCSI

  • 配置服务:DNS、LDAP 和 NIS

  • 监控网络接口

  • 监控 SVM 的运行状况

vsadmin-backup

  • 管理您的用户账户、本地密码和密钥信息

  • 管理 NDMP 操作

  • 对恢复的卷进行读/写

  • 管理 SnapMirror 关系和快照副本

  • 查看卷和网络信息

vsadmin-snaplock

  • 管理您的用户账户、本地密码和密钥信息

  • 管理卷,但移动卷除外

  • 管理配额、qtree、快照副本和文件

  • 执行 SnapLock 操作,包括特权删除

  • 配置协议:NFS 和 SMB

  • 配置服务:DNS、LDAP 和 NIS

  • 监控作业

  • 监控网络连接和网络接口

vsadmin-readonly

  • 管理您的用户账户、本地密码和密钥信息

  • 监控 SVM 的运行状况

  • 监控网络接口

  • 查看卷和 LUN

  • 查看服务和协议

有关如何创建新 SVM 角色的更多信息,请参阅创建新的 SVM 角色

使用活动目录对ONTAP用户进行身份验证

你可以对 Windows Active Directory 域用户访问适用于 ONTAP 文件系统和 SVM 的 FSx 进行身份验证。在 Active Directory 账户可以访问您的文件系统之前,您必须完成以下任务:

  • 您需要配置 Active Directory 域控制器对 SVM 的访问权限。

    用于配置为 Active Directory 域控制器访问的网关或隧道的 SVM 必须启用 CIFS、加入活动目录,或者两者兼而有之。如果您没有启用 CIFS,而只是将隧道 SVM 加入活动目录,请确保 SVM 已加入您的活动目录。有关更多信息,请参阅 将 SVM 加入 Microsoft Active Directory

  • 您需要启用 Active Directory 域用户帐户才能访问文件系统。

    对于访问 CLI 或 REST AP ONTAP I 的 Windows 域用户,你可以使用密码身份验证或 SSH 公钥身份验证。

有关描述如何用于为文件系统和 SVM 管理员配置 Active Directory 身份验证的过程,请参阅为ONTAP用户配置活动目录身份验证

为文件系统和 SVM 管理创建新ONTAP用户

每个ONTAP用户都与 SVM 或文件系统相关联。具有该fsxadmin角色的文件系统用户可以使用 security login createONTAPCLI 命令创建新的 SVM 角色和用户。

security login create命令为管理实用程序创建登录方法。登录方法由用户名、应用程序(访问方法)和身份验证方法组成。一个用户名可以与多个应用程序关联。它可以选择包含访问控制角色名称。如果使用 Active Directory、LDAP 或 NIS 组名,则登录方法允许属于指定组的用户访问权限。如果用户是安全登录表中配置的多个组的成员,则该用户将可以访问为各个组授权的命令的组合列表。

有关如何创建新ONTAP用户的信息,请参阅创建新的 ONTAP 用户

主题