Añada reglas de acceso a la política de bloques de ONTAP S3 predeterminada
Sugerir cambios
PDF
Puede agregar reglas de acceso a la política de bloque predeterminada. El ámbito de su control de acceso es el cucharón que contiene, por lo que resulta más adecuado cuando hay un único cucharón.
Debe existir una máquina virtual de almacenamiento habilitada para S3 que contenga un servidor S3 y un bloque.
Debe haber creado usuarios o grupos antes de conceder permisos.
Puede agregar nuevas sentencias para usuarios y grupos nuevos o modificar los atributos de las sentencias existentes. Obtenga más información sobre vserver object-store-server bucket policy en el "Referencia de comandos del ONTAP".
Los permisos de usuario y grupo se pueden otorgar cuando se crea el bloque o cuando se necesite más adelante. También puede modificar la asignación de capacidad de los bloques y del grupo de políticas de calidad de servicio.
A partir de ONTAP 9.9,1, si tiene previsto admitir la funcionalidad de etiquetado de objetos de cliente de AWS con el servidor ONTAP S3, las acciones GetObjectTagging, PutObjectTagging y DeleteObjectTagging deben permitirse mediante las directivas de grupo o bloque.
El procedimiento que siga depende de la interfaz que utilice: System Manager o CLI:
-
Edite la cuchara: Haga clic en almacenamiento > Cuchos, haga clic en la cuchara deseada y, a continuación, haga clic en Editar. Al agregar o modificar permisos, puede especificar los siguientes parámetros:
-
Principal: El usuario o grupo al que se concede acceso.
-
Efecto: Permite o deniega el acceso a un usuario o grupo.
-
Acciones: Acciones permitidas en el cucharón para un usuario o grupo determinado.
-
Recursos: Rutas y nombres de objetos dentro del bloque para los cuales se concede o deniega el acceso.
Los valores predeterminados bucketname y bucketname/* conceden acceso a todos los objetos del bloque. También puede otorgar acceso a objetos individuales; por ejemplo, bucketname/*_readme.txt.
-
Condiciones (opcional): Expresiones que se evalúan cuando se intenta acceder. Por ejemplo, puede especificar una lista de direcciones IP para las que se permitirá o deniega el acceso.
-
|
A partir de ONTAP 9.14.1, puede especificar variables para la política de depósitos en el campo Recursos. Estas variables son marcadores de posición que se reemplazan por valores contextuales cuando se evalúa la política. Por ejemplo, si ${aws:username} se especifica como una variable para una política, esta variable se reemplaza por el nombre de usuario del contexto de solicitud y la acción de política se puede realizar según la configuración para ese usuario.
|
-
Agregar una sentencia a una política de bloque:
vserver object-store-server bucket policy add-statement -vserver svm_name -bucket bucket_name -effect {allow|deny} -action object_store_actions -principal user_and_group_names -resource object_store_resources [-sid text] [-index integer]Los siguientes parámetros definen los permisos de acceso:
-effectLa declaración puede permitir o denegar el acceso
-actionPuede especificar
*que se refiera a todas las acciones o a una lista de una o más de las siguientesGetObject, PutObject, DeleteObject, ListBucket, GetBucketAcl,GetObjectAcl, ListBucketMultipartUploads,: YListMultipartUploadParts.-principalUna lista de uno o más grupos o usuarios de S3.
-
Se puede especificar un máximo de 10 usuarios o grupos.
-
Si se especifica un grupo S3, debe estar en el formato
group/group_name. -
*se puede especificar para que signifique acceso público; es decir, acceso sin clave de acceso y clave secreta. -
Si no se especifica ningún principal, se concede acceso a todos los usuarios S3 de la máquina virtual de almacenamiento.
-resourceEl bloque y cualquier objeto que contenga. Los caracteres comodín
*y?se pueden utilizar para formar una expresión regular para especificar un recurso. En el caso de un recurso, puede especificar variables en una política. Estas son variables de política que son marcadores de posición que se reemplazan por los valores contextuales cuando se evalúa la política.Opcionalmente, puede especificar una cadena de texto como comentario con la
-sidopción. -
En el siguiente ejemplo se crea una sentencia de política de depósito de servidor de almacén de objetos para la máquina virtual de almacenamiento svm1.example.com y bucket1 que especifica el acceso permitido a una carpeta Léame para el usuario de servidor de almacén de objetos user1.
cluster1::> vserver object-store-server bucket policy statement create -vserver svm1.example.com -bucket bucket1 -effect allow -action GetObject,PutObject,DeleteObject,ListBucket -principal user1 -resource bucket1/readme/* -sid "fullAccessToReadmeForUser1"
En el siguiente ejemplo se crea una sentencia de política de depósito de servidor de almacén de objetos para la máquina virtual de almacenamiento svm1.example.com y bucket1 que especifica el acceso permitido a todos los objetos para el grupo de servidores de almacén de objetos group1.
cluster1::> vserver object-store-server bucket policy statement create -vserver svm1.example.com -bucket bucket1 -effect allow -action GetObject,PutObject,DeleteObject,ListBucket -principal group/group1 -resource bucket1/* -sid "fullAccessForGroup1"
A partir de ONTAP 9.14.1, puede especificar variables para una política de bloque. En el siguiente ejemplo se crea una sentencia de política de bloque de servidor para la máquina virtual de almacenamiento svm1 y bucket1, y se especifica ${aws:username} como variable para un recurso de política. Cuando se evalúa la política, la variable de política se sustituye por el nombre de usuario de contexto de solicitud y la acción de política se puede realizar según se haya configurado para ese usuario. Por ejemplo, cuando se evalúa la siguiente sentencia de política, ${aws:username} se reemplaza por el usuario que realiza la operación S3. Si un usuario user1 realiza la operación, se le concede acceso a bucket1 AS bucket1/user1/*.
cluster1::> object-store-server bucket policy statement create -vserver svm1 -bucket bucket1 -effect allow -action * -principal - -resource bucket1,bucket1/${aws:username}/*##