Versionshinweise
Erstellen oder Ändern einer ONTAP S3-Objektspeicherserverrichtlinie
Änderungen vorschlagen
-
PDF dieser Dokumentationssite
-
ONTAP einrichten, aktualisieren und zurücksetzen
-
Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
-
Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
-
-
NAS-Storage-Management
-
Konfigurieren Sie NFS mit der CLI
-
NFS lässt sich mit der CLI managen
-
SMB lässt sich mit der CLI managen
-
Managen von SMB-Servern
-
Managen Sie den Dateizugriff über SMB
-
-
-
Authentifizierung und Zugriffssteuerung
-
Managen Sie die Administratorauthentifizierung und RBAC
-
-
Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Managen Sie die SnapMirror Volume-Replizierung
-
Datensicherung mithilfe von Tape Backup
-
-
Sammlung separater PDF-Dokumente
Creating your file...
Sie können Richtlinien erstellen, die sich auf einen oder mehrere Buckets in einem Objektspeicher anwenden lassen. Serverrichtlinien für Objektspeicher können an Gruppen von Benutzern angehängt werden, wodurch das Management des Datenzugriffs über mehrere Buckets hinweg vereinfacht wird.
Eine S3-fähige SVM mit einem S3-Server und einem Bucket muss bereits vorhanden sein.
Sie können die Zugriffsrichtlinien auf der SVM-Ebene aktivieren, indem Sie eine standardmäßige oder benutzerdefinierte Richtlinie in einer Objekt-Storage-Servergruppe angeben. Die Richtlinien werden erst wirksam, wenn sie in der Gruppendefinition angegeben sind.
|
Wenn Sie die Objekt-Storage-Server-Richtlinien verwenden, geben Sie Principals (d. h. Benutzer und Gruppen) in der Gruppendefinition und nicht in der Richtlinie selbst an. |
Es gibt drei schreibgeschützte Standardrichtlinien für den Zugriff auf ONTAP S3-Ressourcen:
-
Vollzugriff
-
NoS3Access
-
ReadOnlyAccess
Sie können auch neue benutzerdefinierte Richtlinien erstellen, neue Anweisungen für neue Benutzer und Gruppen hinzufügen oder die Attribute vorhandener Anweisungen ändern. Erfahren Sie mehr über vserver object-store-server policy in der "ONTAP-Befehlsreferenz".
Wenn Sie ab ONTAP 9.9.1 die Objekt-Tagging-Funktionalität des AWS-Clients mit dem ONTAP S3-Server unterstützen möchten, GetObjectTagging PutObjectTagging DeleteObjectTagging müssen die Aktionen, und über die Bucket- oder Gruppenrichtlinien erlaubt sein.
Die folgende Vorgehensweise ist abhängig von der Schnittstelle, die Sie --System Manager oder die CLI verwenden:
Verwenden Sie System Manager zum Erstellen oder Ändern einer Objektspeicherserverrichtlinie
-
Bearbeiten Sie die Speicher-VM: Klicken Sie auf Speicher > Speicher-VMs, klicken Sie auf die Speicher-VM, klicken Sie auf Einstellungen und dann
unter S3. -
Fügen Sie einen Benutzer hinzu: Klicken Sie auf Richtlinien und dann auf Hinzufügen.
-
Geben Sie einen Richtliniennamen ein, und wählen Sie ihn aus einer Gruppenliste aus.
-
Wählen Sie eine vorhandene Standardrichtlinie aus, oder fügen Sie eine neue hinzu.
Beim Hinzufügen oder Ändern einer Gruppenrichtlinie können Sie die folgenden Parameter angeben:
-
Gruppe: Die Gruppen, denen der Zugriff gewährt wird.
-
Effekt: Ermöglicht oder verweigert den Zugriff auf eine oder mehrere Gruppen.
-
Aktionen: Zulässige Aktionen in einem oder mehreren Buckets für eine bestimmte Gruppe.
-
Ressourcen: Pfade und Namen von Objekten innerhalb eines oder mehrerer Buckets, für die der Zugriff gewährt oder verweigert wird. Beispiel:
-
* Gewährt Zugriff auf alle Buckets in der Storage-VM.
-
Bucketname und bucketname/* gewähren Zugang zu allen Objekten in einem bestimmten Bucket.
-
Bucketname/readme.txt gewährt Zugriff auf ein Objekt in einem bestimmten Bucket.
-
-
-
Fügen Sie gegebenenfalls Anweisungen zu bestehenden Richtlinien hinzu.
-
Verwenden Sie die CLI, um eine Objekt-Store-Serverrichtlinie zu erstellen oder zu ändern
-
Objekt-Storage-Server-Richtlinie erstellen:
vserver object-store-server policy create -vserver svm_name -policy policy_name [-comment text] -
Erstellen einer Anweisung für die Richtlinie:
vserver object-store-server policy statement create -vserver svm_name -policy policy_name -effect {allow|deny} -action object_store_actions -resource object_store_resources [-sid text]Die folgenden Parameter definieren Zugriffsberechtigungen:
-effectDie Anweisung kann den Zugriff erlauben oder verweigern
-actionSie können festlegen
*, dass alle Aktionen oder eine Liste mit einer oder mehreren der folgenden Aktionen gemeint sind:GetObject, PutObject, DeleteObject, ListBucket,GetBucketAcl, GetObjectAcl, ListAllMyBuckets, ListBucketMultipartUploads,UndListMultipartUploadParts.-resourceDen Bucket und jedes darin enthaltene Objekt. Die Platzhalterzeichen
*und?können verwendet werden, um einen regulären Ausdruck für die Angabe einer Ressource zu bilden.Mit der
-sidOption können Sie optional einen Text-String als Kommentar angeben.Standardmäßig werden am Ende der Liste der Anweisungen neue Anweisungen hinzugefügt, die in der Reihenfolge bearbeitet werden. Wenn Sie später Anweisungen hinzufügen oder ändern, haben Sie die Möglichkeit, die
-indexEinstellung der Anweisung zu ändern, um die Verarbeitungsreihenfolge zu ändern.
Erfahren Sie mehr über die in diesem Verfahren beschriebenen Befehle im "ONTAP-Befehlsreferenz".
