Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Habilite LDAP o usuarios de dominio para generar sus propias claves de acceso S3

Colaboradores
PDF

A partir de ONTAP 9.14.1, como administrador de ONTAP, puede crear roles personalizados y concederles a grupos de dominio locales o a grupos de protocolo ligero de acceso a directorios (LDAP), de modo que los usuarios que pertenecen a esos grupos puedan generar sus propias claves secretas y de acceso para el acceso de clientes S3.

Debe realizar algunos pasos de configuración en la máquina virtual de almacenamiento, de manera que el rol personalizado se pueda crear y asignar al usuario que llama a la API para la generación de claves de acceso.

Antes de empezar

Asegúrese de lo siguiente:

  1. Se creó una máquina virtual de almacenamiento habilitada para S3 que contiene un servidor S3. Consulte "Cree una SVM para S3".

  2. Se ha creado un bloque en esa máquina virtual de almacenamiento. Consulte "Crear un bucket".

  3. DNS está configurado en la máquina virtual de almacenamiento. Consulte "Configure los servicios DNS".

  4. Hay un certificado de entidad de certificación raíz (CA) autofirmado del servidor LDAP instalado en la máquina virtual de almacenamiento. Consulte "Instale el certificado de CA raíz autofirmado en la SVM".

  5. Se configura un cliente LDAP con TLS habilitado en la máquina virtual de almacenamiento. Consulte "Cree una configuración de cliente LDAP" y .

  6. Asocie la configuración del cliente al Vserver. Consulte "Asocie la configuración del cliente LDAP con las SVM" y.. "creación de ldap de servicio de nombres de servicios vserver".

  7. Si utiliza una máquina virtual de almacenamiento de datos, cree una interfaz de red de gestión (LIF) y en la máquina virtual, así como una política de servicio para la LIF. Consulte "se crea la interfaz de red" y.. "interfaz de red service-policy create" comandos.

Configurar usuarios para la generación de claves de acceso

  1. Especifique LDAP como la base de datos del servicio name de la máquina virtual de almacenamiento para el grupo y la contraseña a LDAP:

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    Para obtener más información acerca de este comando, consulte "servicios de vserver servicio de nombres ns-switch modificar" comando.

  2. Cree un rol personalizado con acceso al extremo de la API de REST DE S3 usuarios:
    security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type>
    En este ejemplo, la s3-role Se genera el rol para los usuarios en la máquina virtual de almacenamiento svm-1, a los que se otorgan todos los derechos de acceso, leer, crear y actualizar.

    security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all

    Para obtener más información acerca de este comando, consulte "creación de rest-role de conexión de seguridad" comando.

  3. Cree un grupo de usuarios LDAP con el comando security login y añada el nuevo rol personalizado para acceder al punto final de la API DE REST DE usuarios de S3. Para obtener más información acerca de este comando, consulte "seguridad de inicio de sesión creado" comando.

    security login create -user-or-group-name <ldap-group-name> -application http -authentication-method nsswitch -role <custom-role-name> -is-ns-switch-group yes

    En este ejemplo, el grupo LDAP ldap-group-1 se crea en svm-1, y el rol personalizado s3role Se ha añadido a él para acceder al punto final de la API, junto con la habilitación del acceso LDAP en el modo de enlace rápido.

    security login create -user-or-group-name ldap-group-1 -application http -authentication-method nsswitch -role s3role -is-ns-switch-group yes -second-authentication-method none -vserver svm-1 -is-ldap-fastbind yes

    Para obtener más información, consulte "Utilice el enlace rápido LDAP para la autenticación nsswitch".

Al agregar el rol personalizado al dominio o grupo LDAP, los usuarios de ese grupo tendrán acceso limitado a la ONTAP /api/protocols/s3/services/{svm.uuid}/users extremo. Al invocar la API, los usuarios del grupo de dominio o LDAP pueden generar su propio acceso y claves secretas para acceder al cliente S3. Pueden generar las claves solo para ellos mismos y no para otros usuarios.

Como usuario S3 o LDAP, genere sus propias claves de acceso

A partir de ONTAP 9.14.1, puede generar sus propias claves de acceso y secretas para acceder a clientes S3, si su administrador le ha otorgado el rol para generar sus propias claves. Puede generar claves únicamente para usted mediante el siguiente extremo de la API REST DE ONTAP.

Método HTTP y punto final

Esta llamada a la API de REST utiliza el siguiente método y extremo. Para obtener información sobre los otros métodos de este punto final, consulte la referencia "Documentación de API".

Método HTTP Ruta

PUBLICAR

/api/protocols/s3/services/{svm.uid}/usuarios
Ejemplo de curl
curl
--request POST \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users " \
--include \
--header "Accept: */*" \
--header "Authorization: Basic $BASIC_AUTH"
--data '{"name":"_name_"}'
Ejemplo de resultado JSON
{
  "records": [
    {
      "access_key": "Pz3SB54G2B_6dsXQPrA5HrTPcf478qoAW6_Xx6qyqZ948AgZ_7YfCf_9nO87YoZmskxx3cq41U2JAH2M3_fs321B4rkzS3a_oC5_8u7D8j_45N8OsBCBPWGD_1d_ccfq",
      "_links": {
        "next": {
          "href": "/api/resourcelink"
        },
        "self": {
          "href": "/api/resourcelink"
        }
      },
      "name": "user-1",
      "secret_key": "A20_tDhC_cux2C2BmtL45bXB_a_Q65c_96FsAcOdo14Az8V31jBKDTc0uCL62Bh559gPB8s9rrn0868QrF38_1dsV2u1_9H2tSf3qQ5xp9NT259C6z_GiZQ883Qn63X1"
    }
  ],
  "num_records": "1"
}