Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Erstellen von Gruppen für einen S3-Mandanten

Beitragende
PDFs

Sie können Berechtigungen für S3-Benutzergruppen managen, indem Sie föderierte Gruppen importieren oder lokale Gruppen erstellen.

Bevor Sie beginnen

Rufen Sie den Assistenten zum Erstellen von Gruppen auf

Rufen Sie als ersten Schritt den Assistenten zum Erstellen von Gruppen auf.

Schritte

  1. Wählen Sie ZUGRIFFSVERWALTUNG > Gruppen.

  2. Wenn Ihr Mandantenkonto über die Berechtigung Grid Federation connection verfügt, bestätigen Sie, dass ein blaues Banner erscheint, das anzeigt, dass neue Gruppen, die in diesem Raster erstellt werden, auf demselben Mandanten auf dem anderen Raster der Verbindung geklont werden. Wenn dieses Banner nicht angezeigt wird, werden Sie möglicherweise im Zielraster des Mandanten angemeldet.

    Abbildung des blauen Banners auf der Seite Gruppen des Quellenrasters für Mandanten

  3. Wählen Sie Gruppe erstellen.

Wählen Sie einen Gruppentyp aus

Sie können eine lokale Gruppe erstellen oder eine föderierte Gruppe importieren.

Schritte

  1. Wählen Sie die Registerkarte Lokale Gruppe aus, um eine lokale Gruppe zu erstellen, oder wählen Sie die Registerkarte Federated Group aus, um eine Gruppe aus der zuvor konfigurierten Identitätsquelle zu importieren.

    Wenn Single Sign-On (SSO) für Ihr StorageGRID-System aktiviert ist, können sich Benutzer, die zu lokalen Gruppen gehören, nicht beim Mandanten-Manager anmelden, obwohl sie sich mithilfe von Client-Applikationen die Ressourcen des Mandanten basierend auf Gruppenberechtigungen managen können.

  2. Geben Sie den Namen der Gruppe ein.

    • Lokale Gruppe: Geben Sie einen Anzeigenamen und einen eindeutigen Namen ein. Sie können den Anzeigenamen später bearbeiten.

      Hinweis Wenn Ihr Mandantenkonto über die Berechtigung Grid Federation connection verwenden verfügt, tritt ein Klonfehler auf, wenn der gleiche eindeutige Name bereits für den Mandanten im Zielraster vorhanden ist.

    • Federated Group: Geben Sie den eindeutigen Namen ein. Bei Active Directory ist der eindeutige Name der dem zugeordneten Name sAMAccountName Attribut. Bei OpenLDAP ist der eindeutige Name der Name, der dem zugeordnet ist uid Attribut.

  3. Wählen Sie Weiter.

Gruppenberechtigungen verwalten

Gruppenberechtigungen steuern, welche Aufgaben Benutzer in Tenant Manager und Tenant Management API durchführen können.

Schritte

  1. Wählen Sie für Access Mode eine der folgenden Optionen aus:

    • Lesen-Schreiben (Standard): Benutzer können sich beim Tenant Manager anmelden und die Konfiguration des Mandanten verwalten.

    • Schreibgeschützt: Benutzer können nur Einstellungen und Funktionen anzeigen. Sie können keine Änderungen vornehmen oder keine Vorgänge in der Tenant Manager- oder Mandantenmanagement-API ausführen. Lokale schreibgeschützte Benutzer können ihre eigenen Passwörter ändern.

      Hinweis Wenn ein Benutzer zu mehreren Gruppen gehört und eine beliebige Gruppe auf schreibgeschützt eingestellt ist, hat der Benutzer schreibgeschützten Zugriff auf alle ausgewählten Einstellungen und Funktionen.

  2. Wählen Sie eine oder mehrere Berechtigungen für diese Gruppe aus.

    Siehe "Mandantenmanagement-Berechtigungen".

  3. Wählen Sie Weiter.

Legen Sie die S3-Gruppenrichtlinie fest

Die Gruppenrichtlinie legt fest, über welche S3-Zugriffsberechtigungen Benutzer verfügen.

Schritte

  1. Wählen Sie die Richtlinie aus, die Sie für diese Gruppe verwenden möchten.

    Gruppenrichtlinie Beschreibung

    Kein S3-Zugriff

    Standard. Benutzer in dieser Gruppe haben keinen Zugriff auf S3-Ressourcen, es sei denn, der Zugriff wird über eine Bucket-Richtlinie gewährt. Wenn Sie diese Option auswählen, hat nur der Root-Benutzer standardmäßig Zugriff auf S3-Ressourcen.

    Schreibgeschützter Zugriff

    Benutzer in dieser Gruppe haben schreibgeschützten Zugriff auf S3-Ressourcen. Benutzer in dieser Gruppe können beispielsweise Objekte auflisten und Objektdaten, Metadaten und Tags lesen. Wenn Sie diese Option auswählen, wird im Textfeld der JSON-String für eine schreibgeschützte Gruppenrichtlinie angezeigt. Diese Zeichenfolge kann nicht bearbeitet werden.

    Voller Zugriff

    Benutzer in dieser Gruppe haben vollständigen Zugriff auf S3-Ressourcen, einschließlich Buckets. Wenn Sie diese Option auswählen, wird im Textfeld der JSON-String für eine Richtlinie mit vollem Zugriff angezeigt. Diese Zeichenfolge kann nicht bearbeitet werden.

    Ransomware-Minimierung

    Diese Beispielrichtlinie gilt für alle Buckets für diesen Mandanten. Benutzer in dieser Gruppe können allgemeine Aktionen ausführen, aber Objekte aus Buckets, für die die Objektversionierung aktiviert ist, nicht dauerhaft löschen.

    Tenant Manager-Benutzer mit der Berechtigung Alle Buckets verwalten können diese Gruppenrichtlinie überschreiben. Beschränken Sie die Berechtigung zum Verwalten aller Buckets auf vertrauenswürdige Benutzer und verwenden Sie die Multi-Faktor-Authentifizierung (MFA), sofern verfügbar.

    Individuell

    Benutzer in der Gruppe erhalten die Berechtigungen, die Sie im Textfeld angeben.

  2. Wenn Sie Benutzerdefiniert ausgewählt haben, geben Sie die Gruppenrichtlinie ein. Jede Gruppenrichtlinie hat eine Größenbeschränkung von 5,120 Byte. Sie müssen einen gültigen JSON-formatierten String eingeben.

    Ausführliche Informationen zu Gruppenrichtlinien, einschließlich Sprachsyntax und Beispiele, finden Sie unter "Beispiel für Gruppenrichtlinien".

  3. Wenn Sie eine lokale Gruppe erstellen, wählen Sie Weiter. Wenn Sie eine Verbundgruppe erstellen, wählen Sie Gruppe erstellen und Fertig stellen aus.

Benutzer hinzufügen (nur lokale Gruppen)

Sie können die Gruppe speichern, ohne Benutzer hinzuzufügen, oder Sie können optional alle bereits vorhandenen lokalen Benutzer hinzufügen.

Hinweis Wenn Ihr Mandantenkonto über die Berechtigung Grid Federation connection verfügt, werden alle Benutzer, die Sie beim Erstellen einer lokalen Gruppe im Quellraster auswählen, nicht berücksichtigt, wenn die Gruppe im Zielraster geklont wird. Wählen Sie aus diesem Grund keine Benutzer aus, wenn Sie die Gruppe erstellen. Wählen Sie stattdessen die Gruppe aus, wenn Sie die Benutzer erstellen.
Schritte

  1. Wählen Sie optional einen oder mehrere lokale Benutzer für diese Gruppe aus.

  2. Wählen Sie Gruppe erstellen und Fertig stellen.

    Die von Ihnen erstellte Gruppe wird in der Gruppenliste angezeigt.

    Wenn Ihr Mandantenkonto die Berechtigung Grid Federation connection verwenden hat und Sie sich im Quellraster des Mandanten befinden, wird die neue Gruppe im Zielraster des Mandanten geklont. Success erscheint als Klonstatus im Abschnitt Übersicht der Detailseite der Gruppe.