Cree grupos para un inquilino de S3
Es posible gestionar permisos para grupos de usuarios S3 importando grupos federados o creando grupos locales.
-
Debe iniciar sesión en el administrador de inquilinos mediante un navegador web compatible.
-
Debe pertenecer a un grupo de usuarios que tenga el permiso acceso raíz. Consulte Permisos de gestión de inquilinos.
-
Si planea importar un grupo federado, ha configurado la federación de identidades y el grupo federado ya existe en el origen de identidades configurado.
Para obtener más información sobre S3, consulte Use S3.
-
Seleccione ADMINISTRACIÓN de ACCESO > grupos.
-
Seleccione Crear grupo.
-
Seleccione la ficha Grupo local para crear un grupo local o seleccione la ficha Grupo federado para importar un grupo desde el origen de identidad configurado previamente.
Si se ha habilitado el inicio de sesión único (SSO) para el sistema StorageGRID, los usuarios que pertenecen a grupos locales no podrán iniciar sesión en el Gestor de inquilinos, aunque puedan utilizar las aplicaciones cliente para gestionar los recursos del inquilino, en función de los permisos de grupo.
-
Introduzca el nombre del grupo.
-
Grupo local: Introduzca tanto un nombre para mostrar como un nombre exclusivo. Puede editar el nombre para mostrar más adelante.
-
Grupo federado: Introduzca el nombre único. Para Active Directory, el nombre único es el nombre asociado con
sAMAccountName
atributo. Para OpenLDAP, el nombre único es el nombre asociado conuid
atributo.
-
-
Seleccione continuar.
-
Seleccione un modo de acceso. Si un usuario pertenece a varios grupos y cualquier grupo está establecido en sólo lectura, el usuario tendrá acceso de sólo lectura a todos los ajustes y características seleccionados.
-
Read-write (valor predeterminado): Los usuarios pueden iniciar sesión en el Administrador de inquilinos y administrar la configuración de arrendatario.
-
Sólo lectura: Los usuarios sólo pueden ver los ajustes y las funciones. No pueden realizar cambios ni realizar ninguna operación en el Administrador de inquilinos ni en la API de gestión de inquilinos. Los usuarios locales de solo lectura pueden cambiar sus propias contraseñas.
-
-
Seleccione los permisos de grupo para este grupo.
Consulte la información sobre los permisos de administración de inquilinos.
-
Seleccione continuar.
-
Seleccione una política de grupo para determinar qué permisos de acceso S3 tendrán los miembros de este grupo.
-
Sin acceso S3: Predeterminado. Los usuarios de este grupo no tienen acceso a los recursos de S3, a menos que se conceda el acceso mediante una política de bloques. Si selecciona esta opción, de forma predeterminada, solo el usuario raíz tendrá acceso a recursos de S3.
-
Acceso de sólo lectura: Los usuarios de este grupo tienen acceso de sólo lectura a los recursos S3. Por ejemplo, los usuarios de este grupo pueden enumerar objetos y leer datos de objetos, metadatos y etiquetas. Cuando selecciona esta opción, la cadena JSON para una política de grupo de solo lectura aparece en el cuadro de texto. No puede editar esta cadena.
-
Acceso completo: Los usuarios de este grupo tienen acceso completo a los recursos S3, incluidos los bloques. Cuando selecciona esta opción, la cadena JSON para una política de grupo de acceso completo aparece en el cuadro de texto. No puede editar esta cadena.
-
Personalizado: A los usuarios del grupo se les conceden los permisos que especifique en el cuadro de texto. Consulte las instrucciones para implementar una aplicación cliente S3 para obtener información detallada acerca de las políticas de grupo, incluidos la sintaxis del idioma y ejemplos.
-
-
Si ha seleccionado personalizado, introduzca la directiva de grupo. Cada política de grupo tiene un límite de tamaño de 5,120 bytes. Debe introducir una cadena con formato JSON válida.
En este ejemplo, sólo se permite a los miembros del grupo enumerar y acceder a una carpeta que coincida con su nombre de usuario (prefijo de clave) en el bloque especificado. Tenga en cuenta que los permisos de acceso de otras políticas de grupo y la directiva de bloque deben tenerse en cuenta al determinar la privacidad de estas carpetas.
-
Seleccione el botón que aparece, dependiendo de si está creando un grupo federado o un grupo local:
-
Grupo federado: Crear grupo
-
Grupo local: Continuar
Si está creando un grupo local, el paso 4 (Agregar usuarios) aparece después de seleccionar continuar. Este paso no aparece para grupos federados.
-
-
Seleccione la casilla de verificación de cada usuario que desee agregar al grupo y, a continuación, seleccione Crear grupo.
Opcionalmente, puede guardar el grupo sin agregar usuarios. Puede agregar usuarios al grupo más tarde o seleccionar el grupo cuando agregue nuevos usuarios.
-
Seleccione Finalizar.
El grupo creado aparece en la lista de grupos. Los cambios pueden tardar hasta 15 minutos en surtir efecto debido al almacenamiento en caché.