适用于 VSC、VASA Provider 和 SRA 虚拟设备的 ONTAP 基于角色的访问控制

通过 ONTAP 基于角色的访问控制（RBAC），可以控制对特定存储系统的访问，并控制用户可以在这些存储系统上执行的操作。在适用于 VMware vSphere 的 Virtual Storage Console 中，ONTAP RBAC 与 vCenter Server RBAC 一起确定特定用户可对特定存储系统上的对象执行哪些 Virtual Storage Console（VSC）任务。

VSC 使用您在 VSC 中设置的凭证（用户名和密码）来验证每个存储系统并确定可以在该存储系统上执行哪些存储操作。VSC 为每个存储系统使用一组凭证。这些凭证确定可以在该存储系统上执行哪些 VSC 任务；换句话说，凭证用于 VSC，而不用于单个 VSC 用户。

ONTAP RBAC 仅适用于访问存储系统并执行与存储相关的 VSC 任务，例如，配置虚拟机。对于特定存储系统，如果没有适当的 ONTAP RBAC 特权，则无法对该存储系统上托管的 vSphere 对象执行任何任务。可将 ONTAP RBAC 与特定于 VSC 的特权结合使用，以控制用户可以执行哪些 VSC 任务：

• 监控和配置位于存储系统上的存储或 vCenter Server 对象
• 配置位于存储系统上的 vSphere 对象

通过将 ONTAP RBAC 与特定于 VSC 的特权结合使用，可提供一个可供存储管理员管理的面向存储的安全层。因此，与单独的 ONTAP RBAC 或单独的 vCenter Server RBAC 支持的程度相比，您将获得更加细化的访问控制。例如，使用 vCenter Server RBAC 时，您可以允许 vCenterUserB 在 Lenovo 存储上配置数据存储，同时阻止 vCenterUserA 配置数据存储。如果特定存储系统的存储系统凭证不支持创建存储，则 vCenterUserB 和 vCenterUserA 均无法在该存储系统上配置数据存储。

启动 VSC 任务时，VSC 首先会验证您是否具有该任务的正确 vCenter Server 权限。如果 vCenter Server 权限不足以允许您执行该任务，则 VSC 不必检查该存储系统的 ONTAP 特权，因为您未能通过初始的 vCenter Server 安全检查。结果是您无法访问存储系统。

如果 vCenter Server 权限已足够，VSC 随后会检查与存储系统凭证（用户名和密码）相关联的 ONTAP RBAC 特权（您的 ONTAP 角色），以确定您是否具有足够的特权在该存储系统上执行该 VSC 任务所需的存储操作。如果您具有正确的 ONTAP 特权，则可以访问存储系统并执行 VSC 任务。ONTAP 角色确定了您可以在存储系统上执行的 VSC 任务。

每个存储系统都有一组与之关联的 ONTAP 特权。

同时使用 ONTAP RBAC 和 vCenter Server RBAC 具有以下优势：

• 安全性

  管理员可以在精细的 vCenter Server 对象级别和存储系统级别控制哪些用户可以执行哪些任务。

• 审核信息

  在许多情况下，VSC 会在存储系统上提供审核跟踪，使您可以将事件追溯到进行了存储修改的 vCenter Server 用户。

• 易用性

  可将所有控制器凭证保存在同一个地方。