はじめに
本記事では、ONTAP 9.17.1から利用可能になった「ジャストインタイム(JIT)特権昇格」について説明します。
JIT特権昇格を利用する事で、操作ユーザーが特定のタスクを実行する際に一時的に特権を昇格させることができるようになり、セッションの有効期間が終了すると、ユーザーのアクセスレベルは元に戻る形になります。
この機能を利用する事で、最小特権の原則を適用しつつ、システムへの不正アクセスや誤操作のリスクを低減することができます。
何をしたい?できる?
Storage管理者が、他のユーザに権限を一時的に与える
指定した時間だけ許可した操作を実施させる
本記事では特定SVMに対して設定
記事における環境情報
本記事では、以下の環境で実施した内容となります。
分かり易くするために、Network構成は単純化しています。
- ONTAP : 9.17.1
- Windows Client環境
本記事ではCLIで操作します
設定手順
利用にあたっては以下の制限があります。
- SSHを使用してONTAPにアクセスするユーザのみ利用可能
- 昇格された権限はユーザの現在のSSHセッション内でのみ利用可能
- パスワード、nsswitch、ドメイン認証を使用してのログインユーザに対してサポート
- 多要素認証(MFA)は JIT権限昇格では未サポート
JIT特権昇格の設定において、SVMにセッション期間を1時間、最大JIT期間を10日に設定した場合は、SVM内のユーザは一度に1時間だけJIT昇格にアクセスでき、構成された開始日から最大10日間 JIT セッションを開始できます。
1. SVMへRead-Onlyユーザを作成
SVMにSSHログインで利用するRead-Onlyユーザを作成します。
# 指定SVMへ参照専用のユーザ作成
> security login create -vserver svm100 -user-or-group-name user100 -role vsadmin-readonly -application ssh -authentication-method password
Please enter a password for user 'user100':
Please enter it again:
#ユーザが作成されている事の確認
> security login show -vserver svm100 -role vsadmin-readonly
Vserver: svm100
Second
User/Group Authentication Acct Authentication
Name Application Method Role Name Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
user100 ssh password vsadmin-readonly no none
2. Global JITの設定変更
デフォルト値は以下のようになっていますが、security jit-privilege modifyで時間を変更することができます。
- Default Session Validity Period: 1h0m0s
- Maximum JIT Validity Period: 2160h0m0s
(2160hは90日)
本記事では、セッション時間を10分で、最大JIT期間を30分として変更します。
(個別設定はさらに短時間にしている)
# Global JITの変更
> security jit-privilege modify -vserver svm100 -default-session-validity-period 10m -max-jit-validity-period 30m -application ssh
# 設定値の確認
> security jit-privilege show -vserver svm100
Vserver: svm100
Application: ssh
Default Session Validity Period: 0h10m0s
Maximum JIT Validity Period: 0h30m0s
3. ユーザへのJIT権限昇格設定を実施
上記の手順1で作成したuser100というRead-Onlyユーザに対して、Snapshot作成可能なvsadmin-backupのJIT権限昇格を設定します。
時間指定はUTCフォーマットなので日本時間から9時間マイナスした値を指定しています。
# 現在時間の確認
> date
Node Date Time zone
--------- ------------------------ -------------------------
PS-C250-01
Mon Sep 22 13:59:28 2025 Asia/Tokyo
PS-C250-02
Mon Sep 22 13:59:28 2025 Asia/Tokyo
2 entries were displayed.
# セッションで5分、最大10分の権限昇格設定の実施
> security jit-privilege user create -username user100 -vserver svm100 -role vsadmin-backup -session-validity-period 5m -jit-validity-period 10m -start-time "9/22/2025 05:00:00"
Warning: Inform the user "user100" belonging to Vserver "svm100" to use their login password to elevate the privilege.
# 設定情報の確認(開始時間を過ぎると、Statusはidleに変化)
> security jit-privilege user show
Vserver : svm100
Username: user100
Application: ssh
Role Name: vsadmin-backup
Session Validity Period: 0h5m0s
JIT Validity period: 0h10m0s
Start Time: 9/22/2025 05:00:00
End Time: 9/22/2025 05:10:00
Comment: -
Status: pre-active
主なオプションについては以下の通りです。
| オプション | 説明 |
|---|---|
| role | Roleを指定。未指定時はSVMのDefault値であるvsadmin。 |
| session-validity-period | 昇格されたままとなる有効期間 |
| jit-validity-period | 昇格またはリセットできる有効期間 |
| start-time | 権限の昇格開始日時(UTC形式) |
3. SSHログインして挙動の確認ユーザへのJIT権限昇格設定を実施
ClientからJIT権限設定をしたSVMへのSSHログインを実行します。
3-1. SSHログイン後、elevateの実行でSnapshot作成ができることの確認
SSHログインしただけでは、Snapshot作成に失敗する事を確認します
security jit-privilege elevateコマンドを実行してパスワード入力を実施する事で、Snapshot作成ができることを確認します。
3-2. session-validity-periodが経過すると権限が切れる事の確認
5分経過すると権限が切れるので、Snapshot操作ができなくなる事を確認します。
再度security jit-privilege elevateコマンドを実行してパスワード入力を実施する事で、Snapshot操作が可能になります。
3-3. jit-validity-periodが経過すると権限が切れる事の確認
10分経過するとsecurity jit-privilege elevateコマンドも失敗する事を確認します。
参考及びリンク
Configure JIT privilege elevation in ONTAP