Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Cree o modifique una política de servidor de almacén de objetos de ONTAP S3

Colaboradores
PDF

Puede crear políticas que se puedan aplicar a uno o varios bloques de un almacén de objetos. Las políticas de servidores de almacenamiento de objetos pueden conectarse a grupos de usuarios, lo cual simplifica la gestión del acceso a los recursos en varios bloques.

Antes de empezar

Debe haber una SVM habilitada para S3 que contenga un servidor S3 y un bloque.

Acerca de esta tarea

Puede habilitar las políticas de acceso en el nivel de SVM especificando una política predeterminada o personalizada en un grupo de servidores de almacenamiento de objetos. Las directivas no surten efecto hasta que se especifiquen en la definición del grupo.

Nota Cuando se utilizan directivas de servidor de almacenamiento de objetos, se especifican los principales (es decir, los usuarios y los grupos) en la definición de grupo, no en la propia directiva.

Hay tres políticas predeterminadas de solo lectura para el acceso a los recursos de ONTAP S3:

  • Acceso completo

  • NoS3Access

  • ReadOnlyAccess

También puede crear nuevas directivas personalizadas y, a continuación, agregar nuevas sentencias para nuevos usuarios y grupos, o puede modificar los atributos de las sentencias existentes. Obtenga más información acerca del comando vserver object-store-server policy en la referencia de comandos de ONTAP.

A partir de ONTAP 9,9.1, si tiene previsto admitir la funcionalidad de etiquetado de objetos de cliente de AWS con el servidor ONTAP S3, las acciones se realizarán GetObjectTagging, PutObjectTagging, y. DeleteObjectTagging debe permitirse el uso de las políticas de bloque o grupo.

El procedimiento que siga depende de la interfaz que utilice: System Manager o CLI:

System Manager

Utilice System Manager para crear o modificar una directiva de servidor de almacén de objetos

Pasos

  1. Edite la VM de almacenamiento: Haga clic en Almacenamiento > VM de almacenamiento, haga clic en la VM de almacenamiento, haga clic en Configuración y, a continuación, haga clic en Icono Editar S3.

  2. Agregar un usuario: Haga clic en Directivas y, a continuación, haga clic en Agregar.

    1. Introduzca un nombre de política y selecciónelo de una lista de grupos.

    2. Seleccione una política predeterminada existente o agregue una nueva.

      Al agregar o modificar una política de grupo, se pueden especificar los siguientes parámetros:

      • Grupo: Los grupos a los que se concede acceso.

      • Efecto: Permite o deniega el acceso a uno o varios grupos.

      • Acciones: Acciones permitidas en uno o más cucharones para un grupo determinado.

      • Recursos: Rutas y nombres de objetos dentro de uno o más segmentos para los que se concede o deniega el acceso. Por ejemplo:

        • * Concede acceso a todos los bloques del equipo virtual de almacenamiento.

        • bucketname y bucketname/* conceden acceso a todos los objetos de un bloque específico.

        • bucketname/readme.txt otorga acceso a un objeto en un bloque específico.

    3. Si lo desea, agregue sentencias a las directivas existentes.

CLI

Utilice la CLI para crear o modificar una directiva de servidor de almacén de objetos

Pasos

  1. Cree una política de servidor de almacenamiento de objetos:

    vserver object-store-server policy create -vserver svm_name -policy policy_name [-comment text]

  2. Crear una instrucción para la directiva:

    vserver object-store-server policy statement create -vserver svm_name -policy policy_name -effect {allow|deny} -action object_store_actions -resource object_store_resources [-sid text]

    Los siguientes parámetros definen los permisos de acceso:

    -effect

    La declaración puede permitir o denegar el acceso

    -action

    Puede especificar * para indicar todas las acciones, o una lista de una o varias de las siguientes: GetObject, PutObject, DeleteObject, ListBucket,GetBucketAcl, GetObjectAcl, ListAllMyBuckets, ListBucketMultipartUploads, y.. ListMultipartUploadParts.

    -resource

    El bloque y cualquier objeto que contenga. Los caracteres comodín * y.. ? se puede utilizar para formar una expresión regular para especificar un recurso.

    Opcionalmente, puede especificar una cadena de texto como comentario con el -sid opción.

    De forma predeterminada, las nuevas sentencias se agregan al final de la lista de sentencias, que se procesan en orden. Cuando agregue o modifique sentencias más tarde, tiene la opción de modificar las sentencias -index configuración para cambiar la orden de procesamiento.

Obtenga más información sobre los comandos descritos en este procedimiento en el "Referencia de comandos de la ONTAP".