Activez les utilisateurs LDAP ou du domaine pour générer leurs propres clés d'accès ONTAP S3
À partir de ONTAP 9.14.1, en tant qu'administrateur ONTAP, vous pouvez créer des rôles personnalisés et les attribuer à des groupes locaux ou de domaine ou à des groupes LDAP (Lightweight Directory Access Protocol), de sorte que les utilisateurs appartenant à ces groupes puissent générer leur propre accès et leurs propres clés secrètes pour l'accès client S3.
Vous devez effectuer quelques étapes de configuration sur votre machine virtuelle de stockage, afin que le rôle personnalisé puisse être créé et attribué à l'utilisateur qui appelle l'API pour la génération de la clé d'accès.
Vérifiez les points suivants :
-
Une VM de stockage compatible S3 contenant un serveur S3 a été créée. Voir "Création d'un SVM pour S3".
-
Un compartiment a été créé dans cette VM de stockage. Voir "Créer un compartiment".
-
DNS est configuré sur la machine virtuelle de stockage. Voir "Configurez les services DNS".
-
Un certificat d'autorité de certification racine (CA) auto-signé du serveur LDAP est installé sur la machine virtuelle de stockage. Voir "Installer le certificat d'autorité de certification racine auto-signé sur le SVM".
-
Un client LDAP est configuré avec TLS activé sur la VM de stockage. Voir "Créez une configuration client LDAP".
-
Associer la configuration client au Vserver. Voir "Associer la configuration client LDAP aux SVM". Pour en savoir plus sur la commande
vserver services name-service ldap create
, consultez la référence de commande ONTAP. -
Si vous utilisez une VM de stockage de données, créez une interface réseau de gestion (LIF) et sur la VM, ainsi qu'une politique de service pour la LIF. Pour en savoir plus sur les[
network interface create
commandes ^] et[network interface service-policy create
^], consultez la référence des commandes ONTAP.
Configurer les utilisateurs pour la génération de clés d'accès
-
Spécifiez LDAP comme name service database de la machine virtuelle de stockage pour le groupe et le mot de passe pour LDAP :
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
Pour en savoir plus sur la commande
vserver services name-service ns-switch modify
, consultez la référence de commande ONTAP. -
Créez un rôle personnalisé en accédant au terminal de l'API REST de l'utilisateur S3 :
security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type>
Dans cet exemple, les3-role
Le rôle est généré pour les utilisateurs de la VM de stockagesvm-1
, auquel tous les droits d'accès, lecture, création et mise à jour sont accordés.security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all
Pour en savoir plus sur la commande
security login rest-role create
, consultez la référence de commande ONTAP. -
Créez un groupe d'utilisateurs LDAP avec la commande Security login et ajoutez le nouveau rôle personnalisé pour accéder au point final de l'API REST de l'utilisateur S3. Pour en savoir plus sur la commande
security login create
, consultez la référence de commande ONTAP.security login create -user-or-group-name <ldap-group-name> -application http -authentication-method nsswitch -role <custom-role-name> -is-ns-switch-group yes
Dans cet exemple, le groupe LDAP
ldap-group-1
est créé danssvm-1
, et le rôle personnalisés3role
Est ajouté pour accéder au noeud final de l'API, ainsi que pour activer l'accès LDAP en mode de liaison rapide.security login create -user-or-group-name ldap-group-1 -application http -authentication-method nsswitch -role s3role -is-ns-switch-group yes -second-authentication-method none -vserver svm-1 -is-ldap-fastbind yes
Pour plus d'informations, voir "Utilisez LDAP FAST bind pour l'authentification nsswitch".
L'ajout du rôle personnalisé au domaine ou au groupe LDAP permet aux utilisateurs de ce groupe d'avoir un accès limité à ONTAP /api/protocols/s3/services/{svm.uuid}/users
point final. En appelant l'API, les utilisateurs du domaine ou du groupe LDAP peuvent générer leurs propres clés d'accès et secrètes pour accéder au client S3. Ils peuvent générer les clés pour eux-mêmes et non pour les autres utilisateurs.
En tant qu'utilisateur S3 ou LDAP, générez vos propres clés d'accès
À partir de ONTAP 9.14.1, vous pouvez générer vos propres clés d'accès et vos clés secrètes pour accéder aux clients S3, si votre administrateur vous a accordé le rôle de génération de vos propres clés. Vous ne pouvez générer les clés que vous-même à l'aide du terminal d'API REST ONTAP suivant.
Cet appel d'API REST utilise la méthode et le point de terminaison suivants. Pour plus d'informations sur les autres méthodes de ce noeud final, reportez-vous à la référence "Documentation de l'API".
Méthode HTTP | Chemin |
---|---|
POST |
/api/protocoles/s3/services/{svm.uuid}/utilisateurs |
curl
--request POST \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users " \
--include \
--header "Accept: */*" \
--header "Authorization: Basic $BASIC_AUTH"
--data '{"name":"_name_"}'
{ "records": [ { "access_key": "Pz3SB54G2B_6dsXQPrA5HrTPcf478qoAW6_Xx6qyqZ948AgZ_7YfCf_9nO87YoZmskxx3cq41U2JAH2M3_fs321B4rkzS3a_oC5_8u7D8j_45N8OsBCBPWGD_1d_ccfq", "_links": { "next": { "href": "/api/resourcelink" }, "self": { "href": "/api/resourcelink" } }, "name": "user-1", "secret_key": "A20_tDhC_cux2C2BmtL45bXB_a_Q65c_96FsAcOdo14Az8V31jBKDTc0uCL62Bh559gPB8s9rrn0868QrF38_1dsV2u1_9H2tSf3qQ5xp9NT259C6z_GiZQ883Qn63X1" } ], "num_records": "1" }