Habilite LDAP o usuarios de dominio para generar sus propias claves de acceso S3
-
PDF de este sitio de documentos
- Configuración, actualización y reversión de ONTAP
- Administración de clústeres
-
Administración de volúmenes
-
Gestión de almacenamiento lógico con CLI
- Utilice cuotas para restringir o realizar un seguimiento del uso de los recursos
-
Gestión de almacenamiento lógico con CLI
-
Gestión del almacenamiento nas
- Configure NFS con la CLI
- Gestione NFS con la interfaz de línea de comandos
-
Gestione SMB con la interfaz de línea de comandos
- Gestione servidores SMB
- Gestione el acceso a archivos mediante SMB
- Gestión del almacenamiento san
- Autenticación y control de acceso
- Seguridad y cifrado de datos
- Protección de datos y recuperación ante desastres
Recopilación de documentos PDF independientes
Creating your file...
A partir de ONTAP 9.14.1, como administrador de ONTAP, puede crear roles personalizados y concederles a grupos de dominio locales o a grupos de protocolo ligero de acceso a directorios (LDAP), de modo que los usuarios que pertenecen a esos grupos puedan generar sus propias claves secretas y de acceso para el acceso de clientes S3.
Debe realizar algunos pasos de configuración en la máquina virtual de almacenamiento, de manera que el rol personalizado se pueda crear y asignar al usuario que llama a la API para la generación de claves de acceso.
Asegúrese de lo siguiente:
-
Se creó una máquina virtual de almacenamiento habilitada para S3 que contiene un servidor S3. Consulte "Cree una SVM para S3".
-
Se ha creado un bloque en esa máquina virtual de almacenamiento. Consulte "Crear un bucket".
-
DNS está configurado en la máquina virtual de almacenamiento. Consulte "Configure los servicios DNS".
-
Hay un certificado de entidad de certificación raíz (CA) autofirmado del servidor LDAP instalado en la máquina virtual de almacenamiento. Consulte "Instale el certificado de CA raíz autofirmado en la SVM".
-
Se configura un cliente LDAP con TLS habilitado en la máquina virtual de almacenamiento. Consulte "Cree una configuración de cliente LDAP" y .
-
Asocie la configuración del cliente al Vserver. Consulte "Asocie la configuración del cliente LDAP con las SVM" y.. "creación de ldap de servicio de nombres de servicios vserver".
-
Si utiliza una máquina virtual de almacenamiento de datos, cree una interfaz de red de gestión (LIF) y en la máquina virtual, así como una política de servicio para la LIF. Consulte "se crea la interfaz de red" y.. "interfaz de red service-policy create" comandos.
Configurar usuarios para la generación de claves de acceso
-
Especifique LDAP como la base de datos del servicio name de la máquina virtual de almacenamiento para el grupo y la contraseña a LDAP:
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
Para obtener más información acerca de este comando, consulte "servicios de vserver servicio de nombres ns-switch modificar" comando.
-
Cree un rol personalizado con acceso al extremo de la API de REST DE S3 usuarios:
security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type>
En este ejemplo, las3-role
Se genera el rol para los usuarios en la máquina virtual de almacenamientosvm-1
, a los que se otorgan todos los derechos de acceso, leer, crear y actualizar.security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all
Para obtener más información acerca de este comando, consulte "creación de rest-role de conexión de seguridad" comando.
-
Cree un grupo de usuarios LDAP con el comando security login y añada el nuevo rol personalizado para acceder al punto final de la API DE REST DE usuarios de S3. Para obtener más información acerca de este comando, consulte "seguridad de inicio de sesión creado" comando.
security login create -user-or-group-name <ldap-group-name> -application http -authentication-method nsswitch -role <custom-role-name> -is-ns-switch-group yes
En este ejemplo, el grupo LDAP
ldap-group-1
se crea ensvm-1
, y el rol personalizados3role
Se ha añadido a él para acceder al punto final de la API, junto con la habilitación del acceso LDAP en el modo de enlace rápido.security login create -user-or-group-name ldap-group-1 -application http -authentication-method nsswitch -role s3role -is-ns-switch-group yes -second-authentication-method none -vserver svm-1 -is-ldap-fastbind yes
Para obtener más información, consulte "Utilice el enlace rápido LDAP para la autenticación nsswitch".
Al agregar el rol personalizado al dominio o grupo LDAP, los usuarios de ese grupo tendrán acceso limitado a la ONTAP /api/protocols/s3/services/{svm.uuid}/users
extremo. Al invocar la API, los usuarios del grupo de dominio o LDAP pueden generar su propio acceso y claves secretas para acceder al cliente S3. Pueden generar las claves solo para ellos mismos y no para otros usuarios.
Como usuario S3 o LDAP, genere sus propias claves de acceso
A partir de ONTAP 9.14.1, puede generar sus propias claves de acceso y secretas para acceder a clientes S3, si su administrador le ha otorgado el rol para generar sus propias claves. Puede generar claves únicamente para usted mediante el siguiente extremo de la API REST DE ONTAP.
Esta llamada a la API de REST utiliza el siguiente método y extremo. Para obtener información sobre los otros métodos de este punto final, consulte la referencia "Documentación de API".
Método HTTP | Ruta |
---|---|
PUBLICAR |
/api/protocols/s3/services/{svm.uid}/usuarios |
curl
--request POST \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users " \
--include \
--header "Accept: */*" \
--header "Authorization: Basic $BASIC_AUTH"
--data '{"name":"_name_"}'
{ "records": [ { "access_key": "Pz3SB54G2B_6dsXQPrA5HrTPcf478qoAW6_Xx6qyqZ948AgZ_7YfCf_9nO87YoZmskxx3cq41U2JAH2M3_fs321B4rkzS3a_oC5_8u7D8j_45N8OsBCBPWGD_1d_ccfq", "_links": { "next": { "href": "/api/resourcelink" }, "self": { "href": "/api/resourcelink" } }, "name": "user-1", "secret_key": "A20_tDhC_cux2C2BmtL45bXB_a_Q65c_96FsAcOdo14Az8V31jBKDTc0uCL62Bh559gPB8s9rrn0868QrF38_1dsV2u1_9H2tSf3qQ5xp9NT259C6z_GiZQ883Qn63X1" } ], "num_records": "1" }