本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 创建 SVM 角色
<a name="creating-new-svm-roles"></a>

 您创建的每个 SVM 都有一个默认 SVM 管理员，并为其分配了预定义的 `vsadmin` 角色。除了这组[预定义的 SVM 角色](roles-and-users.md#svm-admin-roles)外，您还可以创建新的 SVM 角色。如果您需要为 SVM 创建新角色，请使用 `security login role create` ONTAP CLI 命令。此命令适用于具有 `fsxadmin` 角色的文件系统管理员。

**创建新的 SVM 角色（ONTAP CLI）**

1. 可以使用以下 [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-create.html) ONTAP CLI 命令创建新的 SVM 角色：

   ```
   Fsx0123456::> security login role create -vserver vs1.example.com -role vol_role -cmddirname volume
   ```

1. 在命令中指定以下必需的参数：
   + `-vserver` SVM 的名称
   + `-role` – 角色的名称。
   + `-cmddirname` – 角色授予访问权限的命令或命令目录。将命令子目录名称用双引号引起来。例如 `"volume snapshot"`。输入 `DEFAULT` 指定所有命令目录。

1. （可选）您还可以向命令添加以下任意参数：
   + `-vserver` – 与角色关联的 SVM 的名称。
   + `-access` – 角色的访问级别。对于命令目录，这包括：
     + `none` – 拒绝访问命令目录中的命令。这是自定义角色的默认值。
     + `readonly` – 授予对命令目录及其子目录中的 show 命令的访问权限。
     + `all` – 授予对命令目录及其子目录中的所有命令的访问权限。要授予或拒绝对内部命令的访问权限，必须指定命令目录。

     对于非内部命令（不以 `create`、`modify`、`delete` 或 `show` 结尾的命令）：
     + `none` – 拒绝访问命令目录中的命令。这是自定义角色的默认值。
     + `readonly` – 不适用。请勿使用。
     + `all` – 授予对命令的访问权限。
   + `-query` – 用于筛选访问级别的查询对象，以命令或命令目录中命令的有效选项的形式指定。将查询对象用双引号引起来。

1. 运行 `security login role create` 命令。

   以下命令为 vs1.example.com 虚拟服务器创建名为“admin”的访问控制角色。该角色拥有对“volume”命令的所有访问权限，但只能在“aggr0”聚合中访问。

   ```
   Fsx0123456::>security login role create -role admin -cmddirname volume -query "-aggr aggr0" -access all -vserver vs1.example.com
   ```