Habilite los usuarios de cliente S3
Para permitir que los usuarios del cliente S3 accedan a datos NAS, debe asignar nombres de usuario S3 a los usuarios NAS correspondientes y conceder permiso para acceder a los datos de NAS mediante políticas de servicio de bucket.
Los nombres de usuario para el acceso de clientes: Usuarios de clientes LINUX/UNIX, Windows y S3 ya deben existir.
Debe tener en cuenta que algunas funciones S3 son "No compatible con buckets NAS de S3".
La asignación de un nombre de usuario de S3 a un usuario de LINUX/UNIX o Windows correspondiente permite que las comprobaciones de autorización de los archivos NAS se honren cuando los clientes de S3 accedan a ellos. Las asignaciones de S3 a NAS se especifican proporcionando un nombre de usuario de S3 Pattern, que puede expresarse como un único nombre o una expresión regular POSIX, y un nombre de usuario de LINUX/UNIX o Windows Replacement.
En caso de que no exista ninguna asignación de nombres, se utilizará la asignación de nombres predeterminada, donde se utilizará el propio nombre de usuario de S3 como nombre de usuario UNIX y nombre de usuario de Windows. Puede modificar las asignaciones de nombres de usuario predeterminados de UNIX y Windows con el vserver object-store-server modify
comando.
Solo se admite la configuración de asignación de nombres local; no se admite LDAP.
Después de asignar usuarios de S3 a usuarios NAS, puede conceder permisos a los usuarios especificando los recursos (directorios y archivos) a los que tienen acceso y las acciones a las que se les permiten o no ejecutar allí.
-
Cree asignaciones de nombres locales para clientes UNIX o Windows (o ambos).
-
Haga clic en almacenamiento > Cuchos y seleccione la VM de almacenamiento habilitada para S3/NAS.
-
Seleccione Configuración, luego haga clic en Asignación de nombres (en Usuarios y grupos de host).
-
En los mosaicos de S3 a Windows o S3 a UNIX (o ambos), haga clic en Agregar y, a continuación, introduzca los nombres de usuario de patrón (S3) y reemplazo (NAS) que desee.
-
-
Cree una política de bloques para proporcionar acceso de cliente.
-
Haga clic en Almacenamiento > Buckets, haga clic en junto al cubo S3 deseado y luego haga clic en Editar.
-
Haga clic en Agregar y proporcione los valores deseados.
-
Principal: Proporcione nombres de usuario S3 o utilice los valores predeterminados (todos los usuarios).
-
Efecto: Seleccione permitir o Denegar.
-
Acciones: Introduzca acciones para estos usuarios y recursos. El conjunto de operaciones de recursos que el servidor de almacén de objetos admite actualmente para los cubos NAS de S3 es: GetObject, PutObject, DeleteObject, ListBucket, GetBucketAcl, GetObjectAcl, GetObjectTagging, PutObjectTagging, DeleteObjectTagging, GetBucketLocation, GetBucketVersioning, PutBucketVersioning y ListBucketVersions. Se aceptan caracteres comodín para este parámetro.
-
Recursos: Introduzca las rutas de acceso a carpetas o archivos en las que se permiten o deniegan las acciones, o utilice los valores predeterminados (directorio raíz del bloque).
-
-
-
Cree asignaciones de nombres locales para clientes UNIX o Windows (o ambos).
vserver name-mapping create -vserver svm_name> -direction {s3-win|s3-unix} -position integer -pattern s3_user_name -replacement nas_user_name
-
-position
- número de prioridad para la evaluación de mapas; escriba 1 o 2. -
-pattern
- Un nombre de usuario S3 o una expresión regular -
-replacement
- un nombre de usuario de windows o unix
-
Ejemplos
vserver name-mapping create -direction s3-win -position 1 -pattern s3_user_1 -replacement win_user_1
vserver name-mapping create -direction s3-unix -position 2 -pattern s3_user_1 -replacement unix_user_1
-
Cree una política de bloques para proporcionar acceso de cliente.
vserver object-store-server bucket policy add-statement -vserver svm_name -bucket bucket_name -effect {deny|allow} -action list_of_actions -principal list_of_users_or_groups -resource [-sid alphanumeric_text]
-
-effect {deny|allow}
- especifica si se permite o deniega el acceso cuando un usuario solicita una acción. -
-action <Action>, …
- especifica las operaciones de recursos que se permiten o se deniegan. El conjunto de operaciones de recursos que el servidor de almacén de objetos soporta actualmente para los buckets S3 NAS son: GetObject, PutObject, DeleteObject, ListBucket, GetBucketAcl, GetObjectAcl y GetBucketLocation. Se aceptan caracteres comodín para este parámetro. -
-principal <Objectstore Principal>, …
- valida el usuario que solicita acceso a los usuarios o grupos del servidor del almacén de objetos especificados en este parámetro.-
Un grupo de servidores de almacenes de objetos se especifica agregando un grupo de prefijos/ al nombre del grupo.
-
-principal
- (el carácter de guión) concede acceso a todos los usuarios.
-
-
-resource <text>, …
- especifica el bloque, carpeta u objeto para el que se han establecido permisos permitir/denegar. Se aceptan caracteres comodín para este parámetro. -
[-sid <SID>]
- especifica un comentario de texto opcional para la sentencia de política de bloque de servidor del almacén de objetos.
-
Ejemplos
cluster1::> vserver object-store-server bucket policy add-statement -bucket testbucket -effect allow -action GetObject,PutObject,DeleteObject,ListBucket,GetBucketAcl,GetObjectAcl, GetBucketLocation,GetBucketPolicy,PutBucketPolicy,DeleteBucketPolicy -principal user1 -resource testbucket,testbucket/* sid "FullAccessForUser1"
cluster1::> vserver object-store-server bucket policy statement create -vserver vs1 -bucket bucket1 -effect allow -action GetObject -principal - -resource bucket1/readme/* -sid "ReadAccessToReadmeForAllUsers"