« データセンタにさらなる自由を(NutanixがIBMをOEMパートナーへ) | メイン | NutanixがMicrosoft SQL Server環境の移行をシームレスにする »

2017/06/02

なぜなに Data Domain - 第十一回 - Data Domain のロール(Role)について

Data Domainも今回で第十一回となりました。
第十回ではDDOSのアップグレード手順について見てきました。
今回はData Domainのロール(Role)についてご紹介します。

■ ユーザ・ロールの定義

・セキュリティを強化するため、Data Domain上に作した各ユーザに対してロールを
 割り当てることが出来ます。

・ロールによりData Domainのシステム・アクセスを制御することができます。

shine Data Domainがサポートしているロール(Role)を見ていきましょう。

■ ロール(Role)
-------------------------------------------------------------------------------
[
admin]
 Data Domain システム全体の構成や監視などの管理を行うことができます。

[user]
 Data Domainシステムの監視及びFast Copy処理の実行が可能になります。

[security]
 ユーザ・ロール権限に加えてセキュリティ担当者の設定及びその他のセキュリティ担当の
 オペレータ管理が可能になります。

[backup-operator]
 ユーザ・ロール権限に加えて、VTLライブラリへのテープのインポート/エクスポート等の
 VTLライブラリの管理が可能になります。 

[none]
 
CLIからData Domainシステムにログインし、自分のパスワードを変更することはできますが、
 Data Domainシステムの監視、管理を行うことはできません。

【メモ1】flair
sysaminユーザが最初の「セキュリティ」権限を保持するユーザを作成できます。
その後、「セキュリティ」権限を付与したユーザが他の「セキュリティ」権限を保持するユーザの
作成、変更の管理ができます。

【メモ2】flair
最初の「セキュリティ」権限を保持するユーザは削除することは出来ません。


shine 各ロールで行える主な操作を見て行きましょう。

■ 主にData Domainで行える操作・管理例
------------------------------------------------------------------------
● 
WebブラウザによるData Domainシステムの管理および監視
   ・各種設定および変更
   ・フィルシステムの利用状況の監視
   ・レプリケーションのステータス状況の監視
 
  ロールごとの操作可否
   [admin] 〇
   [user] ×
   [security] ×
   [backup-operator] ×
   [none] ×
   
● コマンドによるData Domainシステムの管理および監視
   ・各種コマンドを利用した設定および変更
    例 config set hostname

   ・showコマンドを利用したData Domainシステムの監視
    例 file sys show space
    例 replicatioon show state 等

  ロールごとの操作可否
   [admin] 〇
   [user] ×
   [security] ×
   [backup-operator] ×
   [none] ×

● アーカイブなど気密性の高い操作および管理
   ・D
ata Domainシステムの暗号化に関する設定
   ・Retention Lockに関する設定

  ロールごとの操作可否
   [admin] 〇
   [user] ×
   [security] 〇
   [backup-operator] ×
   [none] ×

● Mtreeを利用したスナップショットのの作成および管理
   ・MTreeスナップショットの手動作成
   ・MTreeスナップショットのスケジュール設定
    
  ロールごとの操作可否
   [admin] 〇
   [user] ×
   [security] ×
   [backup-operator] 〇
   [none] ×

● 仮想テープライブラリ(VTL)の管理
   ・仮想テープのインポート、エクスポート
   ・仮想テープライブラリ(VTL)内のテープの移動
 
  ロールごとの操作可否
   [admin] 〇
   [user] ×
   [security] ×
   [backup-operator] 〇
   [none] ×


■ まとめ

Data Domainのロール(Role)機能を利用することで、運用上のセキュリティポリシーに併せて
Data Domainシステムのアクセス制御を管理することが可能です。
それでは次回もよろしくお願いします。

担当:斉藤・吉田