所有権グループ

所有権グループ は、システム内のユーザーとオブジェクトのサブセットを定義します。所有権グループで定義されている特定のリソースへのアクセスをさらに制限するために所有権グループを作成することができます。セキュリティー管理者の役割のユーザーのみが所有権グループを構成して管理することができます。

所有権グループは、所有権グループ内のユーザーのアクセス権限を、その所有権グループ内に定義されているオブジェクトのみに制限します。所有オブジェクト は、1 つの所有権グループのみに属すことができます。所有権グループに属しているユーザーは、それぞれの所有権グループ内のオブジェクトの表示と管理に制限されます。所有権グループに属していないユーザーは、所有権グループ内のオブジェクトを含め、定義されているユーザー役割に基づいて、引き続き、システム上のすべてのオブジェクトを表示または管理できます。所有権グループに属しているユーザーが管理 GUI またはコマンド・ライン・インターフェースにログオンすると、その所有権グループを介してアクセスできるリソースだけが使用可能になります。 所有権グループに割り当てることができるのは、以下のオブジェクトです。
  • 子プール
  • ボリューム
  • ボリューム・グループ
  • ホスト
  • ホスト・クラスター
  • ホスト・マッピング
  • FlashCopy® マッピング
  • FlashCopy 整合性グループ
  • ユーザー・グループ

システムでの所有権グループの使用には、2 つの基本的なユース・ケースがあてはまります。所有権グループを使用する最初のユース・ケースは、新規オブジェクトが所有権グループ内で作成されるシステム上でのものです。システムには、所有権グループに属していない既存のオブジェクトがこれ以外にも存在する場合があります。所有権グループを使用する 2 番目のユース・ケースは、これらのオブジェクトが既に構成されており、所有権グループを使用するためにそれらのオブジェクトをマイグレーションするシステム上でのものです。

ユーザー・グループが所有権グループに割り当てられると、そのユーザー・グループのユーザーはそれぞれの役割を維持しますが、同じ所有権グループ内のリソースにのみ制限されます。ユーザー・グループと関連付けられている役割は、システム上で許可される操作を定義でき、所有権グループは、個別リソースに対するアクセス権限をさらに制限することができます。例えば、コピー・オペレーターの役割を持つユーザー・グループを構成することで、ユーザーのアクセス権限を FlashCopy® の操作に制限することができます。特定の FlashCopy 整合性グループなどの個別リソースを所有権グループに追加すると、そのリソースに対するアクセス権限をさらに制限できます。

所有権の継承

一般的に、所有権グループに関連付けることができるすべてのオブジェクトに適用される 2 つの基本的な継承規則は次のとおりです。
  1. 所有オブジェクトは、それらのオブジェクトを作成した所有者の所有権グループを継承します。
  2. セキュリティー管理者の役割を持つユーザーのみが、所有権グループを作成して管理し、新規オブジェクトまたは既存のオブジェクトに割り当てることができます。
リソースのタイプに応じて、所有権グループを明示的に定義するか、これらの明示的に定義されたオブジェクトから継承することができます。
次の図は、さまざまなオブジェクトが所有権グループから所有権を継承する方法を示しています。
図 1. 所有権グループの継承
所有権グループの継承例
以下のオブジェクトに対して所有権グループを明示的に定義できます。
子プール
子プール内に定義されている新規または既存のボリュームは、その子プールに割り当てられている所有権グループを継承します。
ホスト・クラスター
ホスト・クラスター内に定義されている新規または既存のホストは、そのホスト・クラスターに割り当てられている所有権グループを継承します。
ホスト・クラスターの一部ではないホスト
ホストがホスト・クラスターの一部でない場合、ホスト・オブジェクトが作成または変更されるときに、所有権グループをホストに関連付けることができます。
ボリューム・グループ
Transparent Cloud Tiering のサポートで使用される複数のボリュームを管理するために、ボリューム・グループを作成できます。所有権グループで定義されるボリューム・グループには以下の規則が適用されます。
  • ボリュームとボリューム・グループの両方が同じ所有権グループに属している場合、またはいずれも所有権グループに属していない場合に、ボリュームをボリューム・グループに追加できます。既存のリソースを所有権グループにマイグレーションする際に、ボリューム・グループとそのボリュームは、マイグレーションが完了するまで一時的に別々の所有権グループに属すことができます。
  • ボリューム・グループの所有権は、そのボリュームの所有権に影響を与えません。ボリューム・グループとそのボリュームが別々の所有権グループによって所有されている場合、ボリュームが含まれている子プールの所有者はボリュームを直接変更できます。例えば、子プールの所有者は、その中のボリュームの名前を変更できます。ボリューム・グループの所有者は、ボリューム・グループ自体を変更できるほか、ボリューム・グループからボリュームを削除するなど、ボリュームを間接的に変更することができます。 子プールの所有権グループとボリューム・グループの所有者のどちらも、その所有権グループで定義されていないリソースを直接的に操作することはできません。
注: ボリューム・グループは、CLI を使用してのみ作成できます。
FlashCopy 整合性グループ
複数の FlashCopy マッピングを管理するために、FlashCopy 整合性グループを作成できます。所有権グループで定義される FlashCopy 整合性グループには以下の規則が適用されます。
  • 所有権グループで定義されているユーザーは、マッピングと整合性グループ内のボリュームが同じ所有権グループに属している場合に、FlashCopy マッピングを整合性グループに追加できます。所有権グループで定義されていないユーザーの場合、FlashCopy 整合性グループへマッピングを追加するのに制約はありません。この場合、FlashCopy 整合性グループは、単にコンテナーにすぎず、内容の所有権に影響しません。
  • 既存のリソースを所有権グループにマイグレーションする際に、FlashCopy 整合性グループとそのリソースは、マイグレーションが完了するまで一時的に別々の所有権グループに属すことができます。
  • ボリューム・グループとボリュームの場合と同様、整合性グループの所有権はその中のマッピングの所有権に影響を与えません。
ユーザー・グループ
ユーザー・グループには、以下のルールが適用されます。
  • セキュリティー管理者の役割を持つユーザーのみが、所有権グループを作成して管理することができます。
  • セキュリティー管理者の役割を持つユーザーを所有権グループに割り当てることはできません。
その他のオブジェクトは、これらの明示的に割り当てられたオブジェクトから所有権グループを継承します。通常、所有権グループは、オブジェクトの作成時に定義されます。所有権は、その所有権の設定元である明示的に定義されたオブジェクトが別の所有権グループに割り当てられている場合に変更することもできます。以下のオブジェクトが、明示的に定義されたオブジェクトから所有権を継承します。
ホスト・クラスターの一部になっているホスト
所有権グループで定義されるホストには以下の規則が適用されます。
  • ホストは、そのホストが属しているホスト・クラスターの所有権グループを継承します。
  • 所有権グループ内のホスト・クラスターからホストが削除される場合、そのホストは、以前に属していたホスト・クラスターの所有権グループを継承します。
  • 所有権グループに属していないホスト・クラスターからホストが削除される場合、そのホストは所有権グループを継承しません。
  • ホストとホスト・クラスターが同じ所有権グループに属している場合に、ホストをホスト・クラスターに追加できます。
  • ホスト・クラスターの所有権グループを変更すると、そのホスト・クラスター内のすべてのホストの所有権グループが自動的に変更されます。
ボリューム
所有権グループで定義されるボリュームには以下の規則が適用されます。
  • ボリュームは、ボリュームとそのコピーの容量を提供する子プールの所有権グループを継承します。バックアップ・シナリオに合わせて、ボリューム・コピーをさまざまな所有権グループに作成できます。 ただし、この値は、所有権グループで定義されていないユーザーによって意図的に設定されている必要があります。 ボリューム・コピーの作成時またはその他のプールへのマイグレーション時に、管理 GUI で、さまざまな所有権グループで定義されている子プールを指定できます。これにより、不整合所有権が設定されます。 コマンド・ライン・インターフェースでボリューム・コピーを作成したりボリュームをマイグレーションしたりする場合は、不整合所有権グループを許容するために、-inconsistentownershipgroup を使用してください。 ただし、異なる所有権グループにボリュームまたはボリューム・コピーを残すことは推奨されません。マイグレーション後、セキュリティー管理者の役割を持つユーザーは、すべてのボリュームまたはコピーが、アクセスを必要とするユーザーと同じ所有者グループ内にあることを確認する必要があります。
  • ボリューム・グループでは、ボリューム・グループとそのボリュームは別々の所有権グループに属することができます。 ただし、ボリューム・グループの所有権が、その中のボリュームの所有権に影響を与えることはありません。
ユーザー
所有権グループで定義されるユーザーには以下の規則が適用されます。
  • ユーザーは、そのユーザーが属しているユーザー・グループの所有権グループを継承します。
  • リモート認証に LDAP を使用するユーザーは、複数のユーザー・グループに属すことができます。ただし、いずれかのユーザー・グループに関連付けられている 1 つの所有権グループのみに属すことができます。
ボリュームからホストへのマッピング
所有権グループで定義されるボリュームからホストへのマッピングには以下の規則が適用されます。

ボリュームからホストへのマッピングは、マッピング内のホストまたはホスト・クラスターおよびボリュームの所有権グループを継承します。

FlashCopy マッピング
所有権グループで定義される FlashCopy マッピングには以下の規則が適用されます。
  • FlashCopy マッピングは、マッピングで定義されている両方のボリュームの所有権グループを継承します。
  • FlashCopy 整合性グループと同様、整合性グループとそのマッピングが別々の所有権グループに属すことはできます。ただし、整合性グループの所有権が、その中のマッピングの所有権に影響を与えることはありません。