S3-Client-Benutzer aktivieren
Damit S3-Client-Benutzer auf NAS-Daten zugreifen können, müssen Sie den entsprechenden NAS-Benutzern S3-Benutzernamen zuordnen und ihnen anschließend die Berechtigung erteilen, über die Bucket-Service-Richtlinien auf die NAS-Daten zuzugreifen.
Benutzernamen für Client-Zugriff – LINUX/UNIX-, Windows- und S3-Client-Benutzer – müssen bereits vorhanden sein.
Sie sollten beachten, dass einige S3-Funktionalität ist "Nicht von S3 NAS-Buckets unterstützt".
Die Zuordnung eines S3-Benutzernamens zu einem entsprechenden LINUX/UNIX- oder Windows-Benutzer ermöglicht die Überprüfung der Berechtigungen auf die NAS-Dateien, wenn auf diese Dateien von S3-Clients zugegriffen wird. S3-zu-NAS-Zuordnungen werden durch die Angabe eines S3-Benutzernamens Pattern, der als einzelner Name oder POSIX-regulärer Ausdruck ausgedrückt werden kann, und eines LINUX/UNIX- oder Windows-Benutzernamens Replacement angegeben.
Falls keine Namenszuweisung vorhanden ist, wird das Standard-Namenszuordnungen verwendet, wobei der S3-Benutzername selbst als UNIX-Benutzername und Windows-Benutzername verwendet wird. Sie können die UNIX- und Windows-Standardbenutzernamenzuordnungen mit dem vserver object-store-server modify
Befehl ändern.
Es wird nur die lokale Konfiguration der Namenszuordnungen unterstützt; LDAP wird nicht unterstützt.
Nachdem S3-Benutzer NAS-Benutzern zugeordnet wurden, können Sie Benutzern Berechtigungen erteilen, um die Ressourcen (Verzeichnisse und Dateien) anzugeben, auf die sie zugreifen können, und die Aktionen, die sie dort ausführen dürfen oder die sie nicht ausführen dürfen.
-
Erstellen Sie lokale Namenszuordnungen für UNIX oder Windows Clients (oder beide).
-
Klicken Sie auf Storage > Buckets und wählen Sie dann die S3/NAS-fähige Storage-VM aus.
-
Wählen Sie Einstellungen und klicken Sie dann in Name Mapping (unter Host Users and Groups).
-
Klicken Sie in den Kacheln S3 zu Windows oder S3 zu UNIX (oder beide) auf Hinzufügen und geben Sie dann die gewünschten Pattern (S3) und Ersatz (NAS) an.
-
-
Erstellen einer Bucket-Richtlinie für Client-Zugriff
-
Klicken Sie auf Speicher > Buckets, klicken Sie neben dem gewünschten S3-Bucket und dann auf Bearbeiten.
-
Klicken Sie auf Hinzufügen und geben Sie die gewünschten Werte ein.
-
Principal - Bereitstellen von S3-Benutzernamen oder Verwenden der Standardeinstellung (alle Benutzer).
-
Effekt - Wählen Sie Zulassen oder verweigern.
-
Aktionen - Geben Sie Aktionen für diese Benutzer und Ressourcen ein. Die Ressourcenvorgänge, die der Objektspeicher-Server derzeit für S3-NAS-Buckets unterstützt, sind: GetObject, PutObject, DeleteObject, ListBucket, GetBucketAcl, GetObjectAcl, GetObjectTagging, PuttObjectTagging, DeleteObjektTagging, GetBucketLocation, GetBucketVersioning, PutBucketVersioning und ListBucketVersions. Platzhalter werden für diesen Parameter akzeptiert.
-
Ressourcen - Geben Sie Ordner- oder Dateipfade ein, in denen die Aktionen erlaubt oder verweigert werden, oder verwenden Sie die Standardwerte (Stammverzeichnis des Buckets).
-
-
-
Erstellen Sie lokale Namenszuordnungen für UNIX oder Windows Clients (oder beide).
vserver name-mapping create -vserver svm_name> -direction {s3-win|s3-unix} -position integer -pattern s3_user_name -replacement nas_user_name
-
-position
- Prioritätsnummer für die Bewertung der Zuordnung; geben Sie 1 oder 2 ein. -
-pattern
- Ein S3-Benutzername oder ein regulärer Ausdruck -
-replacement
- Ein Windows- oder unix-Benutzername
-
Beispiele
vserver name-mapping create -direction s3-win -position 1 -pattern s3_user_1 -replacement win_user_1
vserver name-mapping create -direction s3-unix -position 2 -pattern s3_user_1 -replacement unix_user_1
-
Erstellen einer Bucket-Richtlinie für Client-Zugriff
vserver object-store-server bucket policy add-statement -vserver svm_name -bucket bucket_name -effect {deny|allow} -action list_of_actions -principal list_of_users_or_groups -resource [-sid alphanumeric_text]
-
-effect {deny|allow}
- Gibt an, ob der Zugriff erlaubt oder verweigert wird, wenn ein Benutzer eine Aktion anfordert. -
-action <Action>, …
- Gibt Ressourcenvorgänge an, die erlaubt oder verweigert werden. Der Satz von Ressourcenoperationen, die der Objektspeicher-Server derzeit für S3-NAS-Buckets unterstützt, ist GetObject, PutObject, DeleteObject, ListBucket, GetBucket Acl, GetObjectAcl und GetBucket Location. Platzhalter werden für diesen Parameter akzeptiert. -
-principal <Objectstore Principal>, …
- Überprüft den Benutzer, der Zugriff auf die in diesem Parameter angegebenen Benutzer oder Gruppen des Objektspeichers anfordert.-
Eine Objektspeicherservergruppe wird durch Hinzufügen einer Präfixgruppe/ zum Gruppennamen angegeben.
-
-principal
- (Bindestrich) gewährt allen Benutzern Zugriff.
-
-
-resource <text>, …
- Gibt den Bucket, Ordner oder das Objekt an, für das die Zulassen/Ablehnen-Berechtigungen festgelegt sind. Platzhalter werden für diesen Parameter akzeptiert. -
[-sid <SID>]
- Gibt einen optionalen Textkommentar für die Bucket Policy-Anweisung des Objektspeichers an.
-
Beispiele
cluster1::> vserver object-store-server bucket policy add-statement -bucket testbucket -effect allow -action GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl, GetBucketLocation,GetBucketPolicy,PutBucketPolicy,DeleteBucketPolicy -principal user1 -resource testbucket,testbucket/* sid "FullAccessForUser1"
cluster1::> vserver object-store-server bucket policy statement create -vserver vs1 -bucket bucket1 -effect allow -action GetObject -principal - -resource bucket1/readme/* -sid "ReadAccessToReadmeForAllUsers"