Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Erstellen oder Ändern einer ONTAP S3-Objektspeicherserverrichtlinie

Beitragende
PDFs

Sie können Richtlinien erstellen, die sich auf einen oder mehrere Buckets in einem Objektspeicher anwenden lassen. Serverrichtlinien für Objektspeicher können an Gruppen von Benutzern angehängt werden, wodurch das Management des Datenzugriffs über mehrere Buckets hinweg vereinfacht wird.

Bevor Sie beginnen

Eine S3-fähige SVM mit einem S3-Server und einem Bucket muss bereits vorhanden sein.

Über diese Aufgabe

Sie können die Zugriffsrichtlinien auf der SVM-Ebene aktivieren, indem Sie eine standardmäßige oder benutzerdefinierte Richtlinie in einer Objekt-Storage-Servergruppe angeben. Die Richtlinien werden erst wirksam, wenn sie in der Gruppendefinition angegeben sind.

Hinweis Wenn Sie die Objekt-Storage-Server-Richtlinien verwenden, geben Sie Principals (d. h. Benutzer und Gruppen) in der Gruppendefinition und nicht in der Richtlinie selbst an.

Es gibt drei schreibgeschützte Standardrichtlinien für den Zugriff auf ONTAP S3-Ressourcen:

  • Vollzugriff

  • NoS3Access

  • ReadOnlyAccess

Sie können auch neue benutzerdefinierte Richtlinien erstellen, neue Anweisungen für neue Benutzer und Gruppen hinzufügen oder die Attribute vorhandener Anweisungen ändern. Weitere Informationen zum Befehl Link:https://docs.NetApp.com/US-en/ONTAP-cli/index.html^] finden[vserver object-store-server policy Sie in der ONTAP-Befehlsreferenz.

Wenn Sie ab ONTAP 9.9.1 die Objekt-Tagging-Funktionalität des AWS-Clients mit dem ONTAP S3-Server unterstützen möchten, GetObjectTagging PutObjectTagging DeleteObjectTagging müssen die Aktionen, und über die Bucket- oder Gruppenrichtlinien erlaubt sein.

Die folgende Vorgehensweise ist abhängig von der Schnittstelle, die Sie --System Manager oder die CLI verwenden:

System Manager

Verwenden Sie System Manager zum Erstellen oder Ändern einer Objektspeicherserverrichtlinie

Schritte

  1. Bearbeiten Sie die Speicher-VM: Klicken Sie auf Speicher > Speicher-VMs, klicken Sie auf die Speicher-VM, klicken Sie auf Einstellungen und dann Symbol bearbeiten unter S3.

  2. Fügen Sie einen Benutzer hinzu: Klicken Sie auf Richtlinien und dann auf Hinzufügen.

    1. Geben Sie einen Richtliniennamen ein, und wählen Sie ihn aus einer Gruppenliste aus.

    2. Wählen Sie eine vorhandene Standardrichtlinie aus, oder fügen Sie eine neue hinzu.

      Beim Hinzufügen oder Ändern einer Gruppenrichtlinie können Sie die folgenden Parameter angeben:

      • Gruppe: Die Gruppen, denen der Zugriff gewährt wird.

      • Effekt: Ermöglicht oder verweigert den Zugriff auf eine oder mehrere Gruppen.

      • Aktionen: Zulässige Aktionen in einem oder mehreren Buckets für eine bestimmte Gruppe.

      • Ressourcen: Pfade und Namen von Objekten innerhalb eines oder mehrerer Buckets, für die der Zugriff gewährt oder verweigert wird. Beispiel:

        • * Gewährt Zugriff auf alle Buckets in der Storage-VM.

        • Bucketname und bucketname/* gewähren Zugang zu allen Objekten in einem bestimmten Bucket.

        • Bucketname/readme.txt gewährt Zugriff auf ein Objekt in einem bestimmten Bucket.

    3. Fügen Sie gegebenenfalls Anweisungen zu bestehenden Richtlinien hinzu.

CLI

Verwenden Sie die CLI, um eine Objekt-Store-Serverrichtlinie zu erstellen oder zu ändern

Schritte

  1. Objekt-Storage-Server-Richtlinie erstellen:

    vserver object-store-server policy create -vserver svm_name -policy policy_name [-comment text]

  2. Erstellen einer Anweisung für die Richtlinie:

    vserver object-store-server policy statement create -vserver svm_name -policy policy_name -effect {allow|deny} -action object_store_actions -resource object_store_resources [-sid text]

    Die folgenden Parameter definieren Zugriffsberechtigungen:

    -effect

    Die Anweisung kann den Zugriff erlauben oder verweigern

    -action

    Sie können festlegen *, dass alle Aktionen oder eine Liste mit einer oder mehreren der folgenden Aktionen gemeint sind: GetObject, PutObject, DeleteObject, ListBucket,GetBucketAcl, GetObjectAcl, ListAllMyBuckets, ListBucketMultipartUploads, Und ListMultipartUploadParts.

    -resource

    Den Bucket und jedes darin enthaltene Objekt. Die Platzhalterzeichen * und ? können verwendet werden, um einen regulären Ausdruck für die Angabe einer Ressource zu bilden.

    Mit der -sid Option können Sie optional einen Text-String als Kommentar angeben.

    Standardmäßig werden am Ende der Liste der Anweisungen neue Anweisungen hinzugefügt, die in der Reihenfolge bearbeitet werden. Wenn Sie später Anweisungen hinzufügen oder ändern, haben Sie die Möglichkeit, die -index Einstellung der Anweisung zu ändern, um die Verarbeitungsreihenfolge zu ändern.

Erfahren Sie mehr über die in diesem Verfahren beschriebenen Befehle im "ONTAP-Befehlsreferenz".