Erstellen oder Ändern einer Objektspeicherserverrichtlinie
-
PDF dieser Dokumentationssite
- Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
- Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
Logisches Storage-Management mit der CLI
-
NAS-Storage-Management
- Konfigurieren Sie NFS mit der CLI
- Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
- Verwalten Sie SMB-Server
- Verwalten Sie den Dateizugriff mit SMB
- SAN-Storage-Management
- Authentifizierung und Zugriffssteuerung
- Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Datensicherung mit der CLI
- Managen Sie die SnapMirror Volume-Replizierung
-
Datensicherung mit der CLI
Sammlung separater PDF-Dokumente
Creating your file...
Sie können Richtlinien erstellen, die sich auf einen oder mehrere Buckets in einem Objektspeicher anwenden lassen. Serverrichtlinien für Objektspeicher können an Gruppen von Benutzern angehängt werden, wodurch das Management des Datenzugriffs über mehrere Buckets hinweg vereinfacht wird.
Eine S3-fähige SVM mit einem S3-Server und einem Bucket muss bereits vorhanden sein.
Sie können die Zugriffsrichtlinien auf der SVM-Ebene aktivieren, indem Sie eine standardmäßige oder benutzerdefinierte Richtlinie in einer Objekt-Storage-Servergruppe angeben. Die Richtlinien werden erst wirksam, wenn sie in der Gruppendefinition angegeben sind.
Wenn Sie die Objekt-Storage-Server-Richtlinien verwenden, geben Sie Principals (d. h. Benutzer und Gruppen) in der Gruppendefinition und nicht in der Richtlinie selbst an. |
Es gibt drei schreibgeschützte Standardrichtlinien für den Zugriff auf ONTAP S3-Ressourcen:
-
Vollzugriff
-
NoS3Access
-
ReadOnlyAccess
Sie können auch neue benutzerdefinierte Richtlinien erstellen, neue Anweisungen für neue Benutzer und Gruppen hinzufügen oder die Attribute vorhandener Anweisungen ändern. Weitere Optionen finden Sie im vserver object-store-server policy
"Befehlsreferenz".
Ab ONTAP 9.9 unterstützen Sie die Objekt-Tagging-Funktionen von AWS für Clients mit dem ONTAP S3-Server GetObjectTagging
, PutObjectTagging
, und DeleteObjectTagging
Es müssen die Bucket- oder Gruppenrichtlinien verwendet werden.
Die folgende Vorgehensweise ist abhängig von der Schnittstelle, die Sie --System Manager oder die CLI verwenden:
Verwenden Sie System Manager zum Erstellen oder Ändern einer Objektspeicherserverrichtlinie
-
Bearbeiten Sie den Speicher-VM: Klicken Sie auf Storage > Storage VMs, klicken Sie auf die Speicher-VM, klicken Sie auf Einstellungen und klicken Sie dann auf Unter S3.
-
Fügen Sie einen Benutzer hinzu: Klicken Sie auf Richtlinien und dann auf Hinzufügen.
-
Geben Sie einen Richtliniennamen ein, und wählen Sie ihn aus einer Gruppenliste aus.
-
Wählen Sie eine vorhandene Standardrichtlinie aus, oder fügen Sie eine neue hinzu.
Beim Hinzufügen oder Ändern einer Gruppenrichtlinie können Sie die folgenden Parameter angeben:
-
Gruppe: Die Gruppen, denen der Zugriff gewährt wird.
-
Effekt: Ermöglicht oder verweigert den Zugriff auf eine oder mehrere Gruppen.
-
Aktionen: Zulässige Aktionen in einem oder mehreren Buckets für eine bestimmte Gruppe.
-
Ressourcen: Pfade und Namen von Objekten innerhalb eines oder mehrerer Buckets, für die der Zugriff gewährt oder verweigert wird. Beispiel:
-
* Gewährt Zugriff auf alle Buckets in der Storage-VM.
-
Bucketname und bucketname/* gewähren Zugang zu allen Objekten in einem bestimmten Bucket.
-
Bucketname/readme.txt gewährt Zugriff auf ein Objekt in einem bestimmten Bucket.
-
-
-
Fügen Sie gegebenenfalls Anweisungen zu bestehenden Richtlinien hinzu.
-
Verwenden Sie die CLI, um eine Objekt-Store-Serverrichtlinie zu erstellen oder zu ändern
-
Objekt-Storage-Server-Richtlinie erstellen:
vserver object-store-server policy create -vserver svm_name -policy policy_name [-comment text]
-
Erstellen einer Anweisung für die Richtlinie:
vserver object-store-server policy statement create -vserver svm_name -policy policy_name -effect {allow|deny} -action object_store_actions -resource object_store_resources [-sid text]
Die folgenden Parameter definieren Zugriffsberechtigungen:
-effect
Die Anweisung kann den Zugriff erlauben oder verweigern
-action
Sie können angeben
*
Um alle Aktionen oder eine Liste mit einer oder mehreren der folgenden Aktionen zu bedeuten:GetObject, PutObject, DeleteObject, ListBucket,GetBucketAcl, GetObjectAcl, ListAllMyBuckets, ListBucketMultipartUploads,
UndListMultipartUploadParts
.-resource
Den Bucket und jedes darin enthaltene Objekt. Die Platzhalterzeichen
*
Und?
Kann verwendet werden, um einen regulären Ausdruck zum Angeben einer Ressource zu bilden.Sie können optional einen Textstring als Kommentar mit dem angeben
-sid
Option.Standardmäßig werden am Ende der Liste der Anweisungen neue Anweisungen hinzugefügt, die in der Reihenfolge bearbeitet werden. Wenn Sie später Aussagen hinzufügen oder ändern, haben Sie die Möglichkeit, die Anweisungen zu ändern
-index
Einstellung zum Ändern der Verarbeitungsreihenfolge.