所有权组

所有权组定义系统中用户和对象的子集。您可创建所有权组以进一步限制对所有权组中定义的特定资源的访问权。只有具有“安全性管理员”角色的用户才能配置和管理所有权组。

所有权组将所有权组中用户的访问权限制为仅在该所有权组中定义的那些对象。自有对象可属于一个所有权组。所有权组中的用户仅限于查看和管理其所有权组中的对象。不在所有权组中的用户可以根据其已定义的用户角色继续查看或管理系统上的所有对象,包括所有权组中的对象。 当所有权组中的用户登录到管理 GUI 或命令行界面时,只有其通过该所有权组具有访问权的资源才可用。可将以下对象分配到所有权组:
  • 子池
  • 卷组
  • 主机
  • 主机集群
  • 主机映射
  • FlashCopy® 映射
  • FlashCopy 一致性组
  • 用户组

系统上的所有权组可应用到两个基本用例。使用所有权组的第一个用例是在所有权组中创建新对象的系统上。系统上也可以有不在所有权组中的其他现有对象。使用所有权组的第二个用例是在已配置这些受支持对象并要迁移这些对象以使用所有权组的系统上。

将用户组分配到所有权组时,该用户组中的用户将保留其角色,但仅限于同一所有权组中的那些资源。与用户组关联的角色可以定义系统上允许的操作,并且所有权组可以进一步限制对单个资源的访问权。例如,可以配置具有“拷贝操作员”角色的用户组,用于限制对 FlashCopy® 操作的用户访问权。可以进一步限制对单个资源(例如特定 FlashCopy 一致性组)的访问权,方法是将其分配到一致性组。

继承所有权

通常两个基本继承规则适用于所有可以关联到所有权组的对象:
  1. 自有对象继承创建这些对象的所有者的所有权组。
  2. 只有具有“安全性管理员”角色的用户才能创建、管理所有权组或将其分配给新对象或现有对象。
根据资源的类型,可以显式定义所有权组或从这些显式定义的对象继承所有权组。
下图显示不同对象如何继承所有权组的所有权:
图 1. 所有权组继承
所有权组继承的示例
可以显式定义以下对象的所有权组:
子池
子池中定义的新卷或现有卷继承为子池分配的所有权组。
主机集群
主机集群中定义的新主机或现有主机继承分配给主机集群的所有权组。
不属于主机集群的主机
如果主机不属于主机集群,那么在创建或更改主机对象时,所有权组可以与主机相关联。
卷组
可以创建卷组来管理多个用于透明云分层支持的卷。以下规则适用于所有权组中定义的卷组:
  • 如果卷和卷组均在同一所有权组中,或者如果两者均不在所有权组中,那么可以向卷组中添加卷。将现有资源迁移到所有权组时,卷组及其卷可以暂时属于不同的所有权组,直至迁移完成。
  • 卷组的所有权不影响其包含的卷的所有权。如果卷组及其卷由不同的所有权组拥有,那么包含卷的子池的所有者可以直接更改卷。例如,子池的所有者可以更改其包含的卷的名称。卷组的所有者可以更改卷组本身并间接更改卷,例如从卷组中删除卷。子池的所有权组和卷组的所有者都不能直接处理其所有权组中未定义的资源。
注: 只能使用 CLI 创建卷组。
FlashCopy 一致性组
可以创建 FlashCopy 一致性组来管理多个 FlashCopy 映射。以下规则适用于所有权组中定义的 FlashCopy 一致性组:
  • 如果映射中的卷和一致性组中的卷在同一所有权组中,那么在所有权组中定义的用户可以向一致性组中添加 FlashCopy 映射。对于未在所有权组中定义的用户,向 FlashCopy 一致性组中添加映射没有任何限制。在此情况下,FlashCopy 一致性组只是容器,而不影响内容的所有权。
  • 将现有资源迁移到所有权组时,FlashCopy 一致性组及其资源可以暂时属于不同的所有权组,直至迁移完成。
  • 与卷组和卷一样,一致性组的所有权对其包含的映射的所有权没有任何影响。
用户组
以下规则适用于用户组:
  • 只有具有“安全性管理员”角色的用户才可以创建或管理所有权组。
  • 无法将具有“安全性管理员”角色的用户分配到所有权组。
其他对象从这些显式分配的对象继承所有权组。通常,在创建对象时定义所有权组。在将从中建立所有权的显式定义的对象分配到其他所有权组时,也可以更改所有权。以下对象从显式定义的对象继承所有权:
属于主机集群的主机
以下规则适用于所有权组中定义的主机:
  • 主机会继承其所属的主机集群的所有权组。
  • 如果从所有权组中的主机集群中移除了某个主机,那么该主机会继承其原先所属的主机集群的所有权组。
  • 如果从不属于任何所有权组的主机集群中移除了某个主机,那么该主机不会继承任何所有权组。
  • 如果主机和主机集群属于相同的所有权组,那么可将该主机添加到该主机集群中。
  • 更改主机集群的所有权组会自动更改该主机集群中所有主机的所有权组。
以下规则适用于所有权组中定义的卷:
  • 卷会继承为该卷及其拷贝提供容量的子池的所有权组。可以针对备份方案在不同的所有权组中创建卷拷贝。但是,该值必须由未在所有权组中定义的用户有意设置。在创建卷拷贝或将卷迁移到其他池时,可以在管理 GUI 中指定在不同所有权组中定义的子池,这将建立不一致的所有权。在命令行界面中创建卷拷贝或迁移卷时,请使用 -inconsistentownershipgroup 以允许不一致的所有权组。 但是,建议不要将卷或卷拷贝保留在不同的所有权组中。在迁移后,具有安全管理员角色的用户需要确保所有卷或拷贝都位于需要访问权的用户所在的所有权组中。
  • 对于卷组,卷组与其卷可属于不同的所有权组。但是,卷组的所有权将不会影响其包含的卷的所有权。
用户
以下规则适用于所有权组中定义的用户:
  • 用户将继承其所属的用户组的所有权组。
  • 使用 LDAP 进行远程认证的用户可以属于多个用户组,但仅属于一个与其中一个用户组关联的所有权组。
卷到主机映射
以下规则适用于所有权组中定义的卷到主机映射:

“卷到主机”映射会继承该映射中主机或主机集群和卷的所有权组。

FlashCopy 映射
以下规则适用于所有权组中定义的 FlashCopy 映射:
  • FlashCopy 映射继承映射中定义的两个卷的所有权组。
  • 与 FlashCopy 一致性组相似,一致性组及其映射可能属于不同的所有权组。但是,一致性组的所有权不影响其包含的映射的所有权。