Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Cree o modifique una política de servidor de almacén de objetos de ONTAP S3

Colaboradores
PDF

Puede crear políticas que se puedan aplicar a uno o varios bloques de un almacén de objetos. Las políticas de servidores de almacenamiento de objetos pueden conectarse a grupos de usuarios, lo cual simplifica la gestión del acceso a los recursos en varios bloques.

Antes de empezar

Debe haber una SVM habilitada para S3 que contenga un servidor S3 y un bloque.

Acerca de esta tarea

Puede habilitar las políticas de acceso en el nivel de SVM especificando una política predeterminada o personalizada en un grupo de servidores de almacenamiento de objetos. Las directivas no surten efecto hasta que se especifiquen en la definición del grupo.

Nota Cuando se utilizan directivas de servidor de almacenamiento de objetos, se especifican los principales (es decir, los usuarios y los grupos) en la definición de grupo, no en la propia directiva.

Hay tres políticas predeterminadas de solo lectura para el acceso a los recursos de ONTAP S3:

  • Acceso completo

  • NoS3Access

  • ReadOnlyAccess

También puede crear nuevas directivas personalizadas y, a continuación, agregar nuevas sentencias para nuevos usuarios y grupos, o puede modificar los atributos de las sentencias existentes. Obtenga más información sobre vserver object-store-server policy en el "Referencia de comandos del ONTAP".

A partir de ONTAP 9.9,1, si tiene previsto admitir la funcionalidad de etiquetado de objetos de cliente de AWS con el servidor ONTAP S3, las acciones GetObjectTagging, PutObjectTagging y DeleteObjectTagging deben permitirse mediante las directivas de grupo o bloque.

El procedimiento que siga depende de la interfaz que utilice: System Manager o CLI:

System Manager

Utilice System Manager para crear o modificar una directiva de servidor de almacén de objetos

Pasos

  1. Edite la VM de almacenamiento: Haga clic en Almacenamiento > VM de almacenamiento, haga clic en la VM de almacenamiento, haga clic en Configuración y, a continuación, haga clic en Icono Editar S3.

  2. Agregar un usuario: Haga clic en Directivas y, a continuación, haga clic en Agregar.

    1. Introduzca un nombre de política y selecciónelo de una lista de grupos.

    2. Seleccione una política predeterminada existente o agregue una nueva.

      Al agregar o modificar una política de grupo, se pueden especificar los siguientes parámetros:

      • Grupo: Los grupos a los que se concede acceso.

      • Efecto: Permite o deniega el acceso a uno o varios grupos.

      • Acciones: Acciones permitidas en uno o más cucharones para un grupo determinado.

      • Recursos: Rutas y nombres de objetos dentro de uno o más segmentos para los que se concede o deniega el acceso. Por ejemplo:

        • * Concede acceso a todos los bloques del equipo virtual de almacenamiento.

        • bucketname y bucketname/* conceden acceso a todos los objetos de un bloque específico.

        • bucketname/readme.txt otorga acceso a un objeto en un bloque específico.

    3. Si lo desea, agregue sentencias a las directivas existentes.

CLI

Utilice la CLI para crear o modificar una directiva de servidor de almacén de objetos

Pasos

  1. Cree una política de servidor de almacenamiento de objetos:

    vserver object-store-server policy create -vserver svm_name -policy policy_name [-comment text]

  2. Crear una instrucción para la directiva:

    vserver object-store-server policy statement create -vserver svm_name -policy policy_name -effect {allow|deny} -action object_store_actions -resource object_store_resources [-sid text]

    Los siguientes parámetros definen los permisos de acceso:

    -effect

    La declaración puede permitir o denegar el acceso

    -action

    Puede especificar * que se refiera a todas las acciones o a una lista de una o más de las siguientes GetObject, PutObject, DeleteObject, ListBucket,GetBucketAcl, GetObjectAcl, ListAllMyBuckets, ListBucketMultipartUploads,: Y ListMultipartUploadParts.

    -resource

    El bloque y cualquier objeto que contenga. Los caracteres comodín * y ? se pueden utilizar para formar una expresión regular para especificar un recurso.

    Opcionalmente, puede especificar una cadena de texto como comentario con la -sid opción.

    De forma predeterminada, las nuevas sentencias se agregan al final de la lista de sentencias, que se procesan en orden. Cuando agregue o modifique sentencias más adelante, tiene la opción de modificar la -index configuración de la sentencia para cambiar el orden de procesamiento.

Obtenga más información sobre los comandos descritos en este procedimiento en el "Referencia de comandos del ONTAP".