Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Habilitar usuarios del cliente ONTAP S3

Colaboradores netapp-lenida netapp-thomi netapp-dbagwell netapp-aherbin
PDF

Para permitir que los usuarios del cliente S3 accedan a los datos NAS, debe asignar los nombres de usuario de S3 a los usuarios NAS correspondientes y luego otorgarles permiso para acceder a los datos NAS mediante políticas de servicio de bucket.

Antes de empezar

Los nombres de usuario para el acceso del cliente (usuarios de cliente LINUX/UNIX, Windows y S3) ya deben existir.

Debe tener en cuenta que algunas funciones S3 son "No compatible con buckets NAS de S3".

Acerca de esta tarea

La asignación de un nombre de usuario de S3 a un usuario de LINUX/UNIX o Windows correspondiente permite que las comprobaciones de autorización de los archivos NAS se honren cuando los clientes de S3 accedan a ellos. Las asignaciones de S3 a NAS se especifican proporcionando un nombre de usuario de S3 Pattern, que puede expresarse como un único nombre o una expresión regular POSIX, y un nombre de usuario de LINUX/UNIX o Windows Replacement.

En caso de que no exista ninguna asignación de nombres, se utilizará la asignación de nombres predeterminada, donde se utilizará el propio nombre de usuario de S3 como nombre de usuario UNIX y nombre de usuario de Windows. Puede modificar las asignaciones de nombre de usuario predeterminado de UNIX y Windows con el vserver object-store-server modify comando.

Solo se admite la configuración de asignación de nombres local; no se admite LDAP.

Después de asignar usuarios de S3 a usuarios NAS, puede conceder permisos a los usuarios especificando los recursos (directorios y archivos) a los que tienen acceso y las acciones a las que se les permiten o no ejecutar allí.

System Manager

  1. Cree asignaciones de nombres locales para clientes UNIX o Windows (o ambos).

    1. Haga clic en almacenamiento > Cuchos y seleccione la VM de almacenamiento habilitada para S3/NAS.

    2. Seleccione Configuración, luego haga clic en Icono de flecha Asignación de nombres (en Usuarios y grupos de host).

    3. En los mosaicos de S3 a Windows o S3 a UNIX (o ambos), haga clic en Agregar y, a continuación, introduzca los nombres de usuario de patrón (S3) y reemplazo (NAS) que desee.

  2. Cree una política de bloques para proporcionar acceso de cliente.

    1. Haga clic en Almacenamiento > Buckets, haga clic en Icono de opciones de menú junto al cubo S3 deseado y luego haga clic en Editar.

    2. Haga clic en Agregar y proporcione los valores deseados.

      • Principal: Proporcione nombres de usuario S3 o utilice los valores predeterminados (todos los usuarios).

      • Efecto: Seleccione permitir o Denegar.

      • Acciones: Introduzca acciones para estos usuarios y recursos. El conjunto de operaciones de recursos que el servidor de almacén de objetos admite actualmente para los cubos NAS de S3 es: GetObject, PutObject, DeleteObject, ListBucket, GetBucketAcl, GetObjectAcl, GetObjectTagging, PutObjectTagging, DeleteObjectTagging, GetBucketLocation, GetBucketVersioning, PutBucketVersioning y ListBucketVersions. Se aceptan caracteres comodín para este parámetro.

      • Recursos: Introduzca las rutas de acceso a carpetas o archivos en las que se permiten o deniegan las acciones, o utilice los valores predeterminados (directorio raíz del bloque).

CLI

  1. Cree asignaciones de nombres locales para clientes UNIX o Windows (o ambos).
    vserver name-mapping create -vserver svm_name> -direction {s3-win|s3-unix} -position integer -pattern s3_user_name -replacement nas_user_name

    • -position - número de prioridad para la evaluación de mapas; introduzca 1 o 2.

    • -pattern - Un nombre de usuario S3 o una expresión regular

    • -replacement - un nombre de usuario de windows o unix

Ejemplos
vserver name-mapping create -direction s3-win -position 1 -pattern s3_user_1 -replacement win_user_1 vserver name-mapping create -direction s3-unix -position 2 -pattern s3_user_1 -replacement unix_user_1

  1. Cree una política de bloques para proporcionar acceso de cliente.
    vserver object-store-server bucket policy add-statement -vserver svm_name -bucket bucket_name -effect {deny|allow} -action list_of_actions -principal list_of_users_or_groups -resource [-sid alphanumeric_text]

    • -effect {deny|allow} - especifica si el acceso es permitido o denegado cuando un usuario solicita una acción.

    • -action <Action>, …​ - especifica las operaciones de recursos que se permiten o se deniegan. El conjunto de operaciones de recursos que el servidor de almacén de objetos soporta actualmente para los buckets S3 NAS son: GetObject, PutObject, DeleteObject, ListBucket, GetBucketAcl, GetObjectAcl y GetBucketLocation. Se aceptan caracteres comodín para este parámetro.

    • -principal <Objectstore Principal>, …​ - valida al usuario que solicita el acceso contra los usuarios o grupos del servidor del almacén de objetos especificados en este parámetro.

      • Un grupo de servidores de almacenes de objetos se especifica agregando un grupo de prefijos/ al nombre del grupo.

      • -principal - (el carácter de guion) otorga acceso a todos los usuarios.

    • -resource <text>, …​ - especifica el cubo, carpeta, u objeto para el que se establecen permisos de permitir/denegar. Se aceptan caracteres comodín para este parámetro.

    • [-sid <SID>] - especifica un comentario de texto opcional para la declaración de política de cubo del servidor de almacén de objetos.

Ejemplos
cluster1::> vserver object-store-server bucket policy add-statement -bucket testbucket -effect allow -action GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl, GetBucketLocation,GetBucketPolicy,PutBucketPolicy,DeleteBucketPolicy -principal user1 -resource testbucket,testbucket/* sid "FullAccessForUser1"

cluster1::> vserver object-store-server bucket policy statement create -vserver vs1 -bucket bucket1 -effect allow -action GetObject -principal - -resource bucket1/readme/* -sid "ReadAccessToReadmeForAllUsers"