Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Activez les utilisateurs LDAP ou du domaine pour générer leurs propres clés d'accès S3

Contributeurs

À partir de ONTAP 9.14.1, en tant qu'administrateur ONTAP, vous pouvez créer des rôles personnalisés et les attribuer à des groupes locaux ou de domaine ou à des groupes LDAP (Lightweight Directory Access Protocol), de sorte que les utilisateurs appartenant à ces groupes puissent générer leur propre accès et leurs propres clés secrètes pour l'accès client S3.

Vous devez effectuer quelques étapes de configuration sur votre machine virtuelle de stockage, afin que le rôle personnalisé puisse être créé et attribué à l'utilisateur qui appelle l'API pour la génération de la clé d'accès.

Avant de commencer

Vérifiez les points suivants :

  1. Une VM de stockage compatible S3 contenant un serveur S3 a été créée. Voir "Création d'un SVM pour S3".

  2. Un compartiment a été créé dans cette VM de stockage. Voir "Créer un compartiment".

  3. DNS est configuré sur la machine virtuelle de stockage. Voir "Configurez les services DNS".

  4. Un certificat d'autorité de certification racine (CA) auto-signé du serveur LDAP est installé sur la machine virtuelle de stockage. Voir "Installer le certificat d'autorité de certification racine auto-signé sur le SVM".

  5. Un client LDAP est configuré avec TLS activé sur la VM de stockage. Voir "Créez une configuration client LDAP".

  6. Associer la configuration client au Vserver. Voir "Associer la configuration client LDAP aux SVM" et "création du ldap nom-service des services vserver".

  7. Si vous utilisez une VM de stockage de données, créez une interface réseau de gestion (LIF) et sur la VM, ainsi qu'une politique de service pour la LIF. Voir la "création d'interface réseau" et "création de la stratégie de service de l'interface réseau" commandes.

Configurer les utilisateurs pour la génération de clés d'accès

  1. Spécifiez LDAP comme name service database de la machine virtuelle de stockage pour le groupe et le mot de passe pour LDAP :

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
    ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    Pour plus d'informations sur cette commande, reportez-vous au "vserver services name-service ns-switch modify" commande.

  2. Créez un rôle personnalisé en accédant au terminal de l'API REST de l'utilisateur S3 :
    security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type>
    Dans cet exemple, le s3-role Le rôle est généré pour les utilisateurs de la VM de stockage svm-1, auquel tous les droits d'accès, lecture, création et mise à jour sont accordés.

    security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all

    Pour plus d'informations sur cette commande, reportez-vous au "sécurité login rest-role créer" commande.

  3. Créez un groupe d'utilisateurs LDAP avec la commande Security login et ajoutez le nouveau rôle personnalisé pour accéder au point final de l'API REST de l'utilisateur S3. Pour plus d'informations sur cette commande, reportez-vous au "création d'une connexion de sécurité" commande.

    security login create -user-or-group-name <ldap-group-name> -application http -authentication-method nsswitch -role <custom-role-name> -is-ns-switch-group yes

    Dans cet exemple, le groupe LDAP ldap-group-1 est créé dans svm-1, et le rôle personnalisé s3role Est ajouté pour accéder au noeud final de l'API, ainsi que pour activer l'accès LDAP en mode de liaison rapide.

    security login create -user-or-group-name ldap-group-1 -application http -authentication-method nsswitch -role s3role -is-ns-switch-group yes -second-authentication-method none -vserver svm-1 -is-ldap-fastbind yes

L'ajout du rôle personnalisé au domaine ou au groupe LDAP permet aux utilisateurs de ce groupe d'avoir un accès limité à ONTAP /api/protocols/s3/services/{svm.uuid}/users point final. En appelant l'API, les utilisateurs du domaine ou du groupe LDAP peuvent générer leurs propres clés d'accès et secrètes pour accéder au client S3. Ils peuvent générer les clés pour eux-mêmes et non pour les autres utilisateurs.

En tant qu'utilisateur S3 ou LDAP, générez vos propres clés d'accès

À partir de ONTAP 9.14.1, vous pouvez générer vos propres clés d'accès et vos clés secrètes pour accéder aux clients S3, si votre administrateur vous a accordé le rôle de génération de vos propres clés. Vous ne pouvez générer les clés que vous-même à l'aide du terminal d'API REST ONTAP suivant.

Méthode HTTP et noeud final

Cet appel d'API REST utilise la méthode et le point de terminaison suivants. Pour plus d'informations sur les autres méthodes de ce noeud final, reportez-vous à la référence "Documentation de l'API".

Méthode HTTP Chemin

POST

/api/protocoles/s3/services/{svm.uuid}/utilisateurs

Exemple de boucle
curl
--request POST \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users " \
--include \
--header "Accept: */*" \
--header "Authorization: Basic $BASIC_AUTH"
--data '{"name":"_name_"}'
Exemple de sortie JSON
{
  "records": [
    {
      "access_key": "Pz3SB54G2B_6dsXQPrA5HrTPcf478qoAW6_Xx6qyqZ948AgZ_7YfCf_9nO87YoZmskxx3cq41U2JAH2M3_fs321B4rkzS3a_oC5_8u7D8j_45N8OsBCBPWGD_1d_ccfq",
      "_links": {
        "next": {
          "href": "/api/resourcelink"
        },
        "self": {
          "href": "/api/resourcelink"
        }
      },
      "name": "user-1",
      "secret_key": "A20_tDhC_cux2C2BmtL45bXB_a_Q65c_96FsAcOdo14Az8V31jBKDTc0uCL62Bh559gPB8s9rrn0868QrF38_1dsV2u1_9H2tSf3qQ5xp9NT259C6z_GiZQ883Qn63X1"
    }
  ],
  "num_records": "1"
}