所有権グループの構成

所有権グループを構成して、システムでリソースに対するアクセス権限を管理することができます。 管理 GUI またはコマンド・ライン・インターフェースを使用して、システム上に所有権グループを構成できます。

所有権グループ は、システム内のユーザーとオブジェクトのサブセットを定義します。所有権グループで定義されている特定のリソースへのアクセスをさらに制限するために所有権グループを作成することができます。セキュリティー管理者の役割のユーザーのみが所有権グループを構成して管理することができます。所有権グループを作成してリソースおよびユーザーを割り当てる前に、以下のガイドラインを理解しておくことが重要です。
  • 所有権グループ内のユーザーは、そのユーザーが属している所有権グループ内のリソースを表示したり変更したりすることができます。所有権グループの外部のユーザー (通常はセキュリティー管理者の役割のユーザー) のみが、所有権グループ内のユーザーを含めて、システム上のすべてのリソースを表示して管理することができます。
  • 所有権グループ内のユーザーは、そのユーザーの所有権グループの外部にあるどのオブジェクトも変更できません。この制限の対象には、所有権グループ内のリソースに関連するグローバル・リソースが含まれます。 グローバル・リソースを所有権グループに割り当てることはできません。例えば、ユーザーは、所有権グループ内のボリュームを変更できますが、そのボリュームにストレージを提供する MDisk またはディスクを変更することはできません。MDisk またはドライブは、グローバル・リソースと見なされ、所有権グループに割り当てることはできません。
  • 所有権グループ内のユーザーは、別の所有権グループに割り当てられているか、どの所有権グループにも割り当てられていないリソースを表示することも変更することもできません。ただし、所有権グループ内のユーザーはグローバル・リソースを表示できます。例えば、ボリュームが所有権グループに割り当てられている場合、その所有権グループの外部のユーザーは、そのボリュームに関する情報を表示できません。 ただし、その同じユーザーが、システム上のドライブに関する情報を表示することはできます。ドライブは、グローバル・リソースであり、どの所有権グループにも割り当てることができないためです。

管理 GUI を使用する場合

この手順は、子プール、ホスト、ボリュームなどの所有オブジェクトがまだ構成されていない新規システムで行います。

システム上で所有権グループを使用するためにサポート対象オブジェクトを構成するには、以下のステップを実行します。
  1. 管理 GUI で、「アクセス」 > 「所有権グループ」を選択します。
  2. 「所有権グループ」ページで、「所有権グループの作成」をクリックします。新規所有権グループが作成され、「所有権グループ」ページに表示されます。
  3. 所有権グループの作成後、所有権グループの所有者であるユーザーを含むユーザー・グループを作成します。「アクセス」 > 「グループ別のユーザー」を選択して、「ユーザー・グループの作成」をクリックします。
  4. 「ユーザー・グループの作成」ページで、以下の情報を入力します。
    名前
    ユーザー・グループの名前を入力します。
    役割
    該当のユーザー・グループに属しているすべてのユーザーの役割を選択します。所有権グループに割り当てられているユーザー・グループは、「セキュリティー管理者」役割を使用できません。
    所有権グループ
    以前に作成した所有権グループを選択し、それを、このユーザー・グループに割り当てます。
  5. 「アクセス」 > 「グループ別のユーザー」ページで、既存のユーザーを選択するか、ユーザー・グループに割り当てる新規ユーザーを作成します。それらのユーザーは、そのユーザー・グループに割り当てられた所有権グループを自動的に継承します。
  6. 「プール」 > 「プール別の MDisk」ページで、親プールが存在しない場合は「プールの作成」をクリックし、そのプールにストレージを割り当てます。新規親プールを右クリックして、「子プールの作成」を選択します。
  7. 「子プールの作成」ページで、以下の情報を入力します。
    名前
    子プールの名前を入力します。
    容量
    この子プールから割り当てる容量を選択します。
    所有権グループ
    以前に作成した所有権グループを選択し、それを、この子プールに割り当てます。
  8. 子プールが構成されて、所有権グループに割り当てられると、ステップ 5 で作成したユーザーは、ホスト、ボリューム、FlashCopy マッピングなどのオブジェクトを作成できます。

コマンド・ライン・インターフェースの使用

所有権グループを使用するようにシステムを構成するには、以下のステップを実行します。
  1. 所有権グループを作成するには、次のコマンドを入力します。
    mkownershipgroup -name name
    ここで、name は作成する所有権グループの名前です。
  2. 所有権グループの作成後、所有権グループの所有者であるユーザーを含むユーザー・グループを作成します。ユーザー・グループを作成するには、次のコマンドを入力します。 
    mkusergrp -name group_name -role administrator -ownershipgroup owner_name
    ここで、group_name はユーザー・グループの名前で、owner_name は新規所有権グループの名前です。所有権グループに割り当てられているユーザー・グループは SecurityAdmin 役割を使用できません。
  3. mkuser コマンドを使用してユーザー・グループ内に新規ユーザーを作成するか、chuser を使用して既存のユーザーをユーザー・グループに割り当てます。ユーザーは、そのユーザー・グループに割り当てられている所有権グループを継承します。
  4. システム上に子プールが存在しない場合は、子プールを所有権グループに割り当てる前に、子プールを作成する必要があります。子プールを作成するには、次のコマンドを入力します。
    mkmdiskgrp -size 100 -unit tb -parentmdiskgrp name
    ここで、name は、子プールに容量を提供する親プールの名前です。
  5. 既存の子プールを新規所有権グループに割り当てるには、次のコマンドを入力します。 
    chmdiskgrp -ownershipgroup owner_name name
    ここで、owner_name は新規所有権グループの名前で、name は子プールの名前です。子プールに関連付けられたすべてのボリュームは、新規所有権グループを継承します。
  6. これで、ステップ 3で作成したユーザーは、この所有権グループに割り当てられた子プール内の容量を使用して、この所有権グループ内にホストやボリュームなどのオブジェクトを作成できるようになりました。