Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Cree grupos para un inquilino de S3

Colaboradores
PDF

Es posible gestionar permisos para grupos de usuarios S3 importando grupos federados o creando grupos locales.

Antes de empezar

Acceda al asistente Crear grupo

Como primer paso, acceda al asistente de creación de grupos.

Pasos

  1. Seleccione ADMINISTRACIÓN de ACCESO > grupos.

  2. Si su cuenta de inquilino tiene el permiso Usar conexión de federación de grid, confirme que aparece un banner azul, indicando que los nuevos grupos creados en esta cuadrícula se clonarán en el mismo inquilino en la otra cuadrícula de la conexión. Si este banner no aparece, puede que haya iniciado sesión en la cuadrícula de destino del inquilino.

    Imagen del banner azul en la página Grupos de la cuadrícula de origen de inquilino

  3. Seleccione Crear grupo.

Elija un tipo de grupo

Puede crear un grupo local o importar un grupo federado.

Pasos

  1. Seleccione la ficha Grupo local para crear un grupo local o seleccione la ficha Grupo federado para importar un grupo desde el origen de identidad configurado previamente.

    Si se ha habilitado el inicio de sesión único (SSO) para el sistema StorageGRID, los usuarios que pertenecen a grupos locales no podrán iniciar sesión en el Gestor de inquilinos, aunque puedan utilizar las aplicaciones cliente para gestionar los recursos del inquilino, en función de los permisos de grupo.

  2. Introduzca el nombre del grupo.

    • Grupo local: Introduzca tanto un nombre para mostrar como un nombre exclusivo. Puede editar el nombre para mostrar más adelante.

      Nota Si su cuenta de inquilino tiene el permiso Usar conexión de federación de grid, se producirá un error de clonación si el mismo nombre único ya existe para el inquilino en la cuadrícula de destino.

    • Grupo federado: Introduzca el nombre único. Para Active Directory, el nombre único es el nombre asociado con sAMAccountName atributo. Para OpenLDAP, el nombre único es el nombre asociado con uid atributo.

  3. Seleccione continuar.

Administrar permisos de grupo

Los permisos de grupo controlan las tareas que los usuarios pueden realizar en el gestor de inquilinos y en la API de gestión de inquilinos.

Pasos

  1. Para Modo de acceso, seleccione una de las siguientes opciones:

    • Read-write (por defecto): Los usuarios pueden iniciar sesión en Tenant Manager y administrar la configuración del inquilino.

    • Sólo lectura: Los usuarios sólo pueden ver los ajustes y las funciones. No pueden hacer ningún cambio ni realizar ninguna operación en el administrador de inquilinos o la API de gestión de inquilinos. Los usuarios locales de solo lectura pueden cambiar sus propias contraseñas.

      Nota Si un usuario pertenece a varios grupos y cualquier grupo está establecido en sólo lectura, el usuario tendrá acceso de sólo lectura a todos los ajustes y características seleccionados.

  2. Seleccione uno o más permisos para este grupo.

    Consulte "Permisos de gestión de inquilinos".

  3. Seleccione continuar.

Establezca la política de grupo S3

La política de grupo determina qué permisos de acceso S3 tendrán los usuarios.

Pasos

  1. Seleccione la política que desea usar para este grupo.

    Política de grupo Descripción

    Sin acceso S3

    Predeterminado. Los usuarios de este grupo no tienen acceso a los recursos de S3, a menos que el acceso se conceda con una política de bloque. Si selecciona esta opción, de forma predeterminada, solo el usuario raíz tendrá acceso a recursos de S3.

    Acceso de sólo lectura

    Los usuarios de este grupo tienen acceso de solo lectura a los recursos de S3. Por ejemplo, los usuarios de este grupo pueden enumerar objetos y leer datos de objetos, metadatos y etiquetas. Cuando selecciona esta opción, la cadena JSON para una política de grupo de solo lectura aparece en el cuadro de texto. No puede editar esta cadena.

    Acceso total

    Los usuarios de este grupo tienen acceso completo a recursos de S3, incluidos los bloques. Cuando selecciona esta opción, la cadena JSON para una política de grupo de acceso completo aparece en el cuadro de texto. No puede editar esta cadena.

    Mitigación del ransomware

    Esta política de ejemplo se aplica a todos los depósitos de este arrendatario. Los usuarios de este grupo pueden realizar acciones comunes, pero no pueden suprimir de forma permanente objetos de los bloques que tienen activado el control de versiones de objetos.

    Los usuarios del administrador de inquilinos que tienen el permiso Administrar todos los cubos pueden anular esta política de grupo. Limite el permiso Gestionar todos los buckets a usuarios de confianza y use la autenticación multifactor (MFA) cuando esté disponible.

    Personalizado

    A los usuarios del grupo se les conceden los permisos que especifique en el cuadro de texto.

  2. Si ha seleccionado personalizado, introduzca la directiva de grupo. Cada política de grupo tiene un límite de tamaño de 5,120 bytes. Debe introducir una cadena con formato JSON válida.

    Para obtener información detallada sobre las políticas de grupo, incluida la sintaxis del idioma y los ejemplos, consulte "Ejemplo de políticas de grupo".

  3. Si está creando un grupo local, seleccione continuar. Si está creando un grupo federado, seleccione Crear grupo y Finalizar.

Añadir usuarios (sólo grupos locales)

Puede guardar el grupo sin agregar usuarios o, opcionalmente, puede agregar cualquier usuario local que ya exista.

Nota Si su cuenta de inquilino tiene el permiso Usar conexión de federación de grid, los usuarios que seleccione al crear un grupo local en la cuadrícula de origen no se incluyen cuando el grupo se clona en la cuadrícula de destino. Por este motivo, no seleccione usuarios al crear el grupo. En su lugar, seleccione el grupo cuando cree los usuarios.
Pasos

  1. Opcionalmente, seleccione uno o varios usuarios locales para este grupo.

  2. Seleccione Crear grupo y Finalizar.

    El grupo creado aparece en la lista de grupos.

    Si su cuenta de inquilino tiene el permiso Use grid federation connection y usted está en la cuadrícula de origen del inquilino, el nuevo grupo se clona en la cuadrícula de destino del inquilino. Success aparece como Cloning status en la sección Overview de la página de detalles del grupo.