Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Ermöglichen Sie LDAP- oder Domänenbenutzern, eigene S3-Zugriffsschlüssel zu generieren

Beitragende
PDFs

Ab ONTAP 9.14.1 können Sie als ONTAP-Administrator benutzerdefinierte Rollen erstellen und sie lokalen oder Domänengruppen oder LDAP-Gruppen (Lightweight Directory Access Protocol) zuweisen, sodass die Benutzer dieser Gruppen ihren eigenen Zugriff und geheime Schlüssel für den S3-Clientzugriff generieren können.

Sie müssen für Ihre Storage-VM ein paar Konfigurationsschritte durchführen, um die benutzerdefinierte Rolle zu erstellen und dem Benutzer zuzuweisen, der die API zur Schlüsselgenerierung nach dem Zugriff aufruft.

Bevor Sie beginnen

Stellen Sie Folgendes sicher:

  1. Es wurde eine S3-fähige Storage-VM erstellt, die einen S3-Server enthält. Siehe "Erstellung einer SVM für S3".

  2. In dieser Storage-VM wurde ein Bucket erstellt. Siehe "Erstellen eines Buckets".

  3. DNS ist auf der Storage-VM konfiguriert. Siehe "Konfigurieren Sie DNS-Dienste".

  4. Auf der Storage-VM wird ein selbstsigniertes CA-Zertifikat (Root Certification Authority) des LDAP-Servers installiert. Siehe "Installieren Sie das selbstsignierte Root-CA-Zertifikat auf der SVM".

  5. Ein LDAP-Client wird auf der Storage-VM mit aktiviertem TLS konfiguriert. Siehe "Erstellen Sie eine LDAP-Client-Konfiguration".

  6. Verknüpfen Sie die Client-Konfiguration mit dem Vserver. Siehe "Zuordnen der LDAP-Client-Konfiguration zu SVMs" und "vserver Services Name-Service ldap-Erstellung".

  7. Wenn Sie eine Storage-VM verwenden, erstellen Sie eine Management-Netzwerkschnittstelle (LIF) und auf der VM, und außerdem eine Service-Richtlinie für die LIF. Siehe die "Netzwerkschnittstelle erstellen" "Erstellen der Service-Policy für die Netzwerkschnittstelle" Befehle und.

Konfigurieren Sie Benutzer für die Generierung des Zugriffsschlüssels

  1. Geben Sie LDAP als Name Service Database der Speicher-VM für die Gruppe und Passwort für LDAP an:

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    Weitere Informationen zu diesem Befehl finden Sie im "vserver Services Name-Service ns-Switch modify" Befehl.

  2. Benutzerdefinierte Rolle mit Zugriff auf den REST-API-Endpunkt des S3-Benutzers erstellen:
    security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type> In diesem Beispiel s3-role wird die Rolle für Benutzer auf der Storage-VM generiert svm-1, denen alle Zugriffsrechte, Lesen, Erstellen und Aktualisieren gewährt werden.

    security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all

    Weitere Informationen zu diesem Befehl finden Sie im "Erstellen der Rest-Rolle für die Sicherheitsanmeldung" Befehl.

  3. Erstellen Sie eine LDAP-Benutzergruppe mit dem Befehl für die Sicherheitsanmeldung, und fügen Sie die neue benutzerdefinierte Rolle für den Zugriff auf den REST-API-Endpunkt des S3-Benutzers hinzu. Weitere Informationen zu diesem Befehl finden Sie im "Sicherheits-Login erstellen" Befehl.

    security login create -user-or-group-name <ldap-group-name> -application http -authentication-method nsswitch -role <custom-role-name> -is-ns-switch-group yes

    In diesem Beispiel ldap-group-1 wird die LDAP-Gruppe in erstellt svm-1, und die benutzerdefinierte Rolle s3role wird ihr für den Zugriff auf den API-Endpunkt hinzugefügt, zusammen mit der Aktivierung des LDAP-Zugriffs im Modus „Fast BIND“.

    security login create -user-or-group-name ldap-group-1 -application http -authentication-method nsswitch -role s3role -is-ns-switch-group yes -second-authentication-method none -vserver svm-1 -is-ldap-fastbind yes

    Weitere Informationen finden Sie unter "Verwenden Sie LDAP fast bind für die nswitch-Authentifizierung".

Durch das Hinzufügen der benutzerdefinierten Rolle zur Domäne oder LDAP-Gruppe erhalten Benutzer in dieser Gruppe eingeschränkten Zugriff auf den ONTAP- `/api/protocols/s3/services/{svm.uuid}/users`Endpunkt. Durch Aufruf der API können die Benutzer der Domäne oder LDAP-Gruppe eigene Zugriffs- und geheime Schlüssel für den Zugriff auf den S3-Client generieren. Sie können die Schlüssel nur für sich selbst und nicht für andere Benutzer generieren.

Generieren Sie als S3- oder LDAP-Benutzer eigene Zugriffsschlüssel

Ab ONTAP 9.14.1 können Sie eigene Zugriffs- und geheime Schlüssel für den Zugriff auf S3-Clients generieren, sofern Ihr Administrator Ihnen die Rolle zum Generieren eigener Schlüssel eingeräumt hat. Sie können Schlüssel nur für sich selbst generieren, indem Sie den folgenden ONTAP REST-API-Endpunkt verwenden.

HTTP-Methode und -Endpunkt

Dieser REST-API-Aufruf verwendet die folgende Methode und den folgenden Endpunkt. Informationen zu den anderen Methoden dieses Endpunkts finden Sie in der Referenz "API-Dokumentation".

HTTP-Methode Pfad

POST

/API/Protokolle/s3/Services/{svm.uuid}/Benutzer
Beispiel für die Wellung
curl
--request POST \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users " \
--include \
--header "Accept: */*" \
--header "Authorization: Basic $BASIC_AUTH"
--data '{"name":"_name_"}'
Beispiel für eine JSON-Ausgabe
{
  "records": [
    {
      "access_key": "Pz3SB54G2B_6dsXQPrA5HrTPcf478qoAW6_Xx6qyqZ948AgZ_7YfCf_9nO87YoZmskxx3cq41U2JAH2M3_fs321B4rkzS3a_oC5_8u7D8j_45N8OsBCBPWGD_1d_ccfq",
      "_links": {
        "next": {
          "href": "/api/resourcelink"
        },
        "self": {
          "href": "/api/resourcelink"
        }
      },
      "name": "user-1",
      "secret_key": "A20_tDhC_cux2C2BmtL45bXB_a_Q65c_96FsAcOdo14Az8V31jBKDTc0uCL62Bh559gPB8s9rrn0868QrF38_1dsV2u1_9H2tSf3qQ5xp9NT259C6z_GiZQ883Qn63X1"
    }
  ],
  "num_records": "1"
}