所有權群組

所有權群組可定義系統內使用者及物件的子集。您可以建立所有權群組,來進一步限制存取所有權群組中定義的特定資源。只有具有「安全管理者」角色的使用者,才能配置及管理所有權群組。

所有權群組會將其中的使用者存取權限制為僅限在該所有權群組內定義的物件。擁有的物件 可以屬於一個所有權群組。所有權群組中的使用者只能檢視並管理其所有權群組內的物件。不在所有權群組中的使用者可以根據其已定義的使用者角色,繼續檢視或管理系統上的所有物件,包括所有權群組內的物件。所有權群組中的使用者登入管理 GUI 或指令行介面時,僅會提供其透過所有權群組有權存取的資源。下列物件可以指派給所有權群組:
  • 子儲存區
  • 磁區
  • 磁區群組
  • 主機
  • 主機叢集
  • 主機對映
  • FlashCopy® 對映
  • FlashCopy 一致性群組
  • 使用者群組

兩個基本使用案例可以套用至使用系統上的所有權群組。用於使用所有權群組的第一個使用案例位於在所有權群組中建立新物件的某一系統上。系統上也有其他不在所有權群組中的現有物件。用於使用所有權群組的第二個使用案例位於某一個系統上,在該系統上,這些支援的物件已配置,但您又想要移轉這些物件以使用所有權群組。

將使用者群組指派給所有權群組時,該使用者群組中的使用者會保留其角色,但會限制為僅限相同所有權群組內的資源。與使用者群組相關聯的角色可以在系統上定義允許的作業,並且所有權群組可以進一步限制對個別資源的存取權。例如,您可以為使用者群組配置「副本操作員」角色,該角色會限制使用者僅存取 FlashCopy® 作業。將個別資源(如特定的 FlashCopy 一致性群組)指派給所有權群組,即可進一步限制對這些資源的存取。

繼承所有權

一般而言,下列兩個基本繼承規則適用於可關聯至所有權群組的所有物件:
  1. 擁有的物件會繼承建立這些物件的擁有者之所有權群組。
  2. 只有具有「安全管理者」角色的使用者,才能建立、管理或指派所有權群組給新物件或現有物件。
視資源類型而定,所有權群組可以明確定義,亦可從明確定義的物件繼承。
下列圖形顯示不同物件如何從所有權群組繼承所有權:
圖 1. 所有權群組繼承
所有權群組繼承的範例
您可以為下列物件明確定義所有權群組:
子儲存區
子儲存區中定義的新磁區或現有磁區,會繼承為此子儲存區指派的所有權群組。
主機叢集
主機叢集中定義的新主機或現有主機,會繼承指派給此主機叢集的所有權群組。
不屬於主機叢集一部分的主機
如果主機不屬於主機叢集的一部分,則可在建立或變更主機物件時將所有權群組與主機相關聯。
磁區群組
建立磁區群組即可管理與透通雲端分層支援搭配使用的多個磁區。下列規則適用於在所有權群組中定義的磁區群組:
  • 如果磁區及磁區群組皆在相同所有權群組內,或皆不在所有權群組中,則可將磁區新增至磁區群組。將現有資源移轉至所有權群組,磁區群組及其磁區可以暫時屬於其他所有權群組,直到移轉完成。
  • 磁區群組的所有權不會影響它所含磁區的所有權。如果磁區群組及其磁區是由不同的所有權群組擁有,則包含磁區的子儲存區擁有者可以直接變更磁區。例如,子儲存區的擁有者可以變更其內部的磁區名稱。磁區群組的擁有者可以變更磁區群組本身,並可間接變更磁區,如從磁區群組中刪除磁區。 子儲存區的所有權群組以及磁區群組的擁有者,皆無法直接操作未在其所有權群組中定義的資源。
註: 只能使用 CLI 來建立磁區群組。
FlashCopy 一致性群組
可以建立 FlashCopy 一致性群組來管理多個 FlashCopy 對映。下列規則適用於在所有權群組中定義的 FlashCopy 一致性群組:
  • 如果對映及一致性群組中的磁區是在同一所有權群組內,則所有權群組中定義的使用者可以新增 FlashCopy 對映至一致性群組。對於所有權群組中沒有定義的使用者,不會限制將對映新增至 FlashCopy 一致性群組。在此情況下,FlashCopy 一致性群組只是儲存器,而且不影響內容的所有權。
  • 將現有資源移轉至所有權群組時,FlashCopy 一致性群組及其資源可以暫時屬於不同的所有權群組,直到移轉完成。
  • 如同磁區群組及磁區,一致性群組的所有權也不會影響它所含對映的所有權。
使用者群組
下列規則適用於使用者群組:
  • 只有具有「安全管理者」角色的使用者,才能建立或管理所有權群組。
  • 無法將具有「安全管理者」角色的使用者指派給所有權群組。
其他物件會從這些明確指派的物件繼承所有權群組。通常在建立物件時定義所有權群組。將據以建立所有權的明確定義物件指派給其他所有權群組時,也可以變更所有權。下列物件從明確定義的物件繼承所有權:
屬於主機叢集一部分的主機
下列規則適用於在所有權群組中定義的主機:
  • 主機會繼承它所屬主機叢集的所有權群組。
  • 如果將主機從所有權群組內的主機叢集中移除,則主機會繼承它過去經常所屬主機叢集的所有權群組。
  • 如果將主機從不在所有權群組內的主機叢集中移除,則主機不會繼承任何所有權群組。
  • 如果主機及主機叢集具有相同的所有權群組,則可將主機新增至主機叢集。
  • 變更主機叢集的所有權群組,將會自動變更主機叢集內所有主機的所有權群組。
磁區
下列規則適用於在所有權群組中定義的磁區:
  • 磁區會繼承為磁區及其副本提供容量的子儲存區之所有權群組。可以在不同的所有權群組中建立磁區副本,用於備份實務範例。但是,此值必須由所有權群組中沒有定義的使用者刻意設定。建立磁區副本或將磁區移轉至其他儲存區時,您可以指定在管理 GUI 中不同所有權群組中定義的子儲存區,從而建立不一致的所有權。 如果透過指令行介面建立磁區副本或者移轉磁區,請使用 -inconsistentownershipgroup 來容許有不一致的所有權群組。 不過,不建議將磁區或磁區副本保留在不同的所有權群組中。在移轉之後,具有安全管理者角色的使用者需要確保所有磁區或副本都在需要存取權之使用者所在的所有權群組中內。
  • 如同磁區群組,磁區群組及其磁區可以屬於不同的所有權群組。但是,磁區群組的所有權不會影響它所含磁區的所有權。
使用者
下列規則適用於在所有權群組中定義的使用者:
  • 使用者會繼承它所屬使用者群組的所有權群組。
  • 使用 LDAP 進行遠端鑑別的使用者可以屬於多個使用者群組,但只能屬於一個與其中一個使用者群組相關聯的所有權群組。
磁區至主機對映
下列規則適用於所有權群組中定義的磁區至主機對映:

磁區至主機對映會繼承對映中主機或主機叢集及磁區的所有權群組。

FlashCopy 對映
下列規則適用於所有權群組中定義的 FlashCopy 對映:
  • FlashCopy 對映會繼承對映中定義的兩個磁區的所有權群組。
  • 如同 FlashCopy 一致性群組,一致性群組及其對映可以屬於不同的所有權群組。但是,一致性群組的所有權不會影響它所含對映的所有權。