Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

S3-Client-Benutzer aktivieren

Beitragende
PDFs

Damit S3-Client-Benutzer auf NAS-Daten zugreifen können, müssen Sie den entsprechenden NAS-Benutzern S3-Benutzernamen zuordnen und ihnen anschließend die Berechtigung erteilen, über die Bucket-Service-Richtlinien auf die NAS-Daten zuzugreifen.

Bevor Sie beginnen

Benutzernamen für Client-Zugriff – LINUX/UNIX-, Windows- und S3-Client-Benutzer – müssen bereits vorhanden sein.

Über diese Aufgabe

Die Zuordnung eines S3-Benutzernamens zu einem entsprechenden LINUX/UNIX- oder Windows-Benutzer ermöglicht die Überprüfung der Berechtigungen auf die NAS-Dateien, wenn auf diese Dateien von S3-Clients zugegriffen wird. S3-zu-NAS-Zuordnungen werden durch die Angabe eines S3-Benutzernamens Pattern, der als einzelner Name oder POSIX-regulärer Ausdruck ausgedrückt werden kann, und eines LINUX/UNIX- oder Windows-Benutzernamens Replacement angegeben.

Falls keine Namenszuweisung vorhanden ist, wird das Standard-Namenszuordnungen verwendet, wobei der S3-Benutzername selbst als UNIX-Benutzername und Windows-Benutzername verwendet wird. Sie können die UNIX- und Windows-Standardbenutzernamenzuordnungen mit dem ändern vserver object-store-server modify Befehl.

Es wird nur die lokale Konfiguration der Namenszuordnungen unterstützt; LDAP wird nicht unterstützt.

Nachdem S3-Benutzer NAS-Benutzern zugeordnet wurden, können Sie Benutzern Berechtigungen erteilen, um die Ressourcen (Verzeichnisse und Dateien) anzugeben, auf die sie zugreifen können, und die Aktionen, die sie dort ausführen dürfen oder die sie nicht ausführen dürfen.

System Manager

  1. Erstellen Sie lokale Namenszuordnungen für UNIX oder Windows Clients (oder beide).

    1. Klicken Sie auf Storage > Buckets und wählen Sie dann die S3/NAS-fähige Storage-VM aus.

    2. Wählen Sie Einstellungen und klicken Sie dann auf Nach-rechts-Taste Unter Name Mapping (unter Host-Benutzer und -Gruppen).

    3. Klicken Sie in den Kacheln S3 zu Windows oder S3 zu UNIX (oder beide) auf Hinzufügen und geben Sie dann die gewünschten Pattern (S3) und Ersatz (NAS) an.

  2. Erstellen einer Bucket-Richtlinie für Client-Zugriff

    1. Klicken Sie auf Storage > Buckets, und klicken Sie auf Kebab-Symbol Klicken Sie neben dem gewünschten S3-Bucket auf Bearbeiten.

    2. Klicken Sie auf Hinzufügen und geben Sie die gewünschten Werte ein.

      • Principal - Bereitstellen von S3-Benutzernamen oder Verwenden der Standardeinstellung (alle Benutzer).

      • Effekt - Wählen Sie Zulassen oder verweigern.

      • Aktionen - Geben Sie Aktionen für diese Benutzer und Ressourcen ein. Die Ressourcenvorgänge, die der Objektspeicher-Server derzeit für S3-NAS-Buckets unterstützt, sind: GetObject, PutObject, DeleteObject, ListBucket, GetBucketAcl, GetObjectAcl, GetObjectTagging, PuttObjectTagging, DeleteObjektTagging, GetBucketLocation, GetBucketVersioning, PutBucketVersioning und ListBucketVersions. Platzhalter werden für diesen Parameter akzeptiert.

      • Ressourcen - Geben Sie Ordner- oder Dateipfade ein, in denen die Aktionen erlaubt oder verweigert werden, oder verwenden Sie die Standardwerte (Stammverzeichnis des Buckets).

CLI

  1. Erstellen Sie lokale Namenszuordnungen für UNIX oder Windows Clients (oder beide).
    vserver name-mapping create -vserver svm_name> -direction {s3-win|s3-unix} -position integer -pattern s3_user_name -replacement nas_user_name

    • -position - Prioritätsnummer für die Zuordnungsbewertung; 1 oder 2 eingeben.

    • -pattern - Ein S3-Benutzername oder ein regulärer Ausdruck

    • -replacement - Ein Windows- oder unix-Benutzername

Beispiele
vserver name-mapping create -direction s3-win -position 1 -pattern s3_user_1 -replacement win_user_1 vserver name-mapping create -direction s3-unix -position 2 -pattern s3_user_1 -replacement unix_user_1

  1. Erstellen einer Bucket-Richtlinie für Client-Zugriff
    vserver object-store-server bucket policy add-statement -vserver svm_name -bucket bucket_name -effect {deny|allow} -action list_of_actions -principal list_of_users_or_groups -resource [-sid alphanumeric_text]

    • -effect {deny|allow} - Gibt an, ob der Zugriff zulässig oder verweigert wird, wenn ein Benutzer eine Aktion anfordert.

    • -action <Action>, …​ - Gibt Ressourcenvorgänge an, die zulässig oder verweigert werden. Die Ressourcenvorgänge, die der Objektspeicher-Server derzeit für S3-NAS-Buckets unterstützt, sind: GetObject, PutObject, DeleteObject, ListBucket, GetBucketAcl, GetObjectAcl, GetObjectTagging, PuttObjectTagging, DeleteObjektTagging, GetBucketLocation, GetBucketVersioning, PutBucketVersioning und ListBucketVersions. Platzhalter werden für diesen Parameter akzeptiert.

    • -principal <Objectstore Principal>, …​ - Validiert den Benutzer, der Zugriff auf die in diesem Parameter angegebenen Benutzer oder Gruppen des Objektspeicherservers anfordert.

      • Eine Objektspeicherservergruppe wird durch Hinzufügen einer Präfixgruppe/ zum Gruppennamen angegeben.

      • -principal - (Das Bindestrich-Zeichen) gewährt Zugriff auf alle Benutzer.

    • -resource <text>, …​ - Gibt den Bucket, den Ordner oder das Objekt an, für das Berechtigungen zum Zulassen/verweigern festgelegt sind. Platzhalter werden für diesen Parameter akzeptiert.

    • [-sid <SID>] - Gibt einen optionalen Textkommentar für die Objektspeicherserver-Bucket-Policy-Anweisung an.

Beispiele
cluster1::> vserver object-store-server bucket policy add-statement -bucket testbucket -effect allow -action GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl, GetBucketLocation,GetBucketPolicy,PutBucketPolicy,DeleteBucketPolicy -principal user1 -resource testbucket,testbucket/* sid "FullAccessForUser1"

cluster1::> vserver object-store-server bucket policy statement create -vserver vs1 -bucket bucket1 -effect allow -action GetObject -principal - -resource bucket1/readme/* -sid "ReadAccessToReadmeForAllUsers"