Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Activez les utilisateurs LDAP ou du domaine pour générer leurs propres clés d'accès ONTAP S3

Contributeurs netapp-aaron-holt netapp-bhouser netapp-lenida netapp-manini netapp-dbagwell netapp-barbe netapp-ahibbard netapp-aherbin
PDF

À partir de ONTAP 9.14.1, en tant qu'administrateur ONTAP, vous pouvez créer des rôles personnalisés et les attribuer à des groupes locaux ou de domaine ou à des groupes LDAP (Lightweight Directory Access Protocol), de sorte que les utilisateurs appartenant à ces groupes puissent générer leur propre accès et leurs propres clés secrètes pour l'accès client S3.

Vous devez effectuer quelques étapes de configuration sur votre machine virtuelle de stockage afin que le rôle personnalisé puisse être créé et attribué à l'utilisateur qui appelle l'API pour la génération de la clé d'accès.

Remarque Si LDAP est désactivé, vous pouvez "configurer des services d'annuaire externes pour l'accès ONTAP S3" pour permettre aux utilisateurs de générer des clés d'accès.
Avant de commencer

Vérifiez les points suivants :

  1. Une VM de stockage compatible S3 contenant un serveur S3 a été créée. Voir "Création d'un SVM pour S3".

  2. Un compartiment a été créé dans cette VM de stockage. Voir "Créer un compartiment".

  3. DNS est configuré sur la machine virtuelle de stockage. Voir "Configurez les services DNS".

  4. Un certificat d'autorité de certification racine (CA) auto-signé du serveur LDAP est installé sur la machine virtuelle de stockage. Voir "Installer des certificats d'autorité de certification racine auto-signés sur la SVM".

  5. Un client LDAP est configuré avec TLS activé sur la VM de stockage. Voir "Créer des configurations de client LDAP pour l'accès NFS ONTAP".

  6. Associer la configuration client au Vserver. Voir "Associer les configurations client LDAP aux SVM ONTAP NFS". Pour en savoir plus, vserver services name-service ldap create consultez le "Référence de commande ONTAP".

  7. Si vous utilisez une VM de stockage de données, créez une interface réseau de gestion (LIF) et sur la VM, ainsi qu'une politique de service pour la LIF. Pour en savoir plus sur network interface create et network interface service-policy create dans le "Référence de commande ONTAP".

Configurer les utilisateurs pour la génération de clés d'accès

Exemple 1. Étapes
Utilisateurs LDAP

  1. Spécifiez LDAP comme name service database de la machine virtuelle de stockage pour le groupe et le mot de passe pour LDAP :

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    Pour en savoir plus, vserver services name-service ns-switch modify consultez le "Référence de commande ONTAP".

  2. Créez un rôle personnalisé en accédant au terminal de l'API REST de l'utilisateur S3 :
    security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type>
    Dans cet exemple, le s3-role Le rôle est généré pour les utilisateurs de la VM de stockage svm-1, auquel tous les droits d'accès, lecture, création et mise à jour sont accordés.

    security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all

    Pour en savoir plus, security login rest-role create consultez le "Référence de commande ONTAP".

  3. Créez un groupe d'utilisateurs LDAP avec le security login commandez et ajoutez le nouveau rôle personnalisé pour accéder au point de terminaison de l'API REST de l'utilisateur S3. En savoir plus sur security login create dans le "Référence de commande ONTAP" .

    security login create -user-or-group-name <ldap-group-name> -application http -authentication-method nsswitch -role <custom-role-name> -is-ns-switch-group yes

    Dans cet exemple, le groupe LDAP ldap-group-1 est créé dans svm-1, et le rôle personnalisé s3role Est ajouté pour accéder au noeud final de l'API, ainsi que pour activer l'accès LDAP en mode de liaison rapide.

    security login create -user-or-group-name ldap-group-1 -application http -authentication-method nsswitch -role s3role -is-ns-switch-group yes -second-authentication-method none -vserver svm-1 -is-ldap-fastbind yes

    Pour plus d'informations, voir "Utiliser la liaison rapide LDAP pour l'authentification nsswitch pour les SVM NFS ONTAP".

    Pour en savoir plus, security login create consultez le "Référence de commande ONTAP".

L'ajout du rôle personnalisé au groupe LDAP permet aux utilisateurs de ce groupe un accès limité à ONTAP /api/protocols/s3/services/{svm.uuid}/users Point de terminaison. En invoquant l'API, les utilisateurs du groupe LDAP peuvent générer leurs propres clés d'accès et clés secrètes pour accéder au client S3. Ils peuvent générer ces clés uniquement pour eux-mêmes, et non pour les autres utilisateurs.

Utilisateurs du domaine

  1. Créez un rôle personnalisé avec accès au point de terminaison de l'API REST de l'utilisateur S3 :

security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type>

Dans cet exemple, le s3-role le rôle est généré pour les utilisateurs sur la machine virtuelle de stockage svm-1 , auquel tous les droits d'accès, de lecture, de création et de mise à jour sont accordés.

security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all

Pour en savoir plus, security login rest-role create consultez le "Référence de commande ONTAP".

  1. Créez un groupe d'utilisateurs de domaine avec le security login commandez et ajoutez le nouveau rôle personnalisé pour accéder au point de terminaison de l'API REST de l'utilisateur S3. En savoir plus sur security login create dans le "Référence de commande ONTAP" .

    security login create -vserver <vserver-name> -user-or-group-name domain\<group-name> -application http -authentication-method domain -role <custom-role-name>

    Dans cet exemple, le groupe de domaines domain\group1 est créé en svm-1 , et le rôle personnalisé s3role est ajouté pour accéder au point de terminaison de l'API.

    security login create -user-or-group-name domain\group1 -application http -authentication-method domain -role s3role -vserver svm-1

    Pour en savoir plus, security login create consultez le "Référence de commande ONTAP".

L'ajout du rôle personnalisé au groupe de domaine permet aux utilisateurs de ce groupe un accès limité à ONTAP /api/protocols/s3/services/{svm.uuid}/users Point de terminaison. En invoquant l'API, les utilisateurs du groupe de domaine peuvent générer leurs propres clés d'accès et clés secrètes pour accéder au client S3. Ils peuvent générer ces clés uniquement pour eux-mêmes et non pour les autres utilisateurs.

En tant qu'utilisateur S3 ou LDAP, générez vos propres clés d'accès

À partir de ONTAP 9.14.1, vous pouvez générer vos propres clés d'accès et vos clés secrètes pour accéder aux clients S3, si votre administrateur vous a accordé le rôle de génération de vos propres clés. Vous ne pouvez générer les clés que vous-même à l'aide du terminal d'API REST ONTAP suivant.

Créer un utilisateur S3 et générer des clés

Cet appel d'API REST utilise la méthode et le point de terminaison suivants. Pour plus d'informations sur ce point de terminaison, consultez la référence. "Documentation de l'API" .

Méthode HTTP Chemin

POST

/api/protocoles/s3/services/{svm.uuid}/utilisateurs

Pour les utilisateurs de domaine, utilisez le format suivant pour le nom d'utilisateur S3 : user@fqdn , où fqdn est le nom de domaine complet du domaine.

Exemple de boucle
curl
--request POST \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users " \
--include \
--header "Accept: */*" \
--header "Authorization: Basic $BASIC_AUTH"
--data '{"name":"user1@example.com"}'
Exemple de sortie JSON
{
  "records": [
    {
      "access_key": "4KX07KF7ML8YNWY01JWG",
      "_links": {
        "next": {
          "href": "/api/resourcelink"
        },
        "self": {
          "href": "/api/resourcelink"
        }
      },
      "name": "user1@example.com",
      "secret_key": "<secret_key_value>"
    }
  ],
  "num_records": "1"
}
Régénérer les clés pour un utilisateur S3

Si un utilisateur S3 existe déjà, vous pouvez régénérer ses clés d'accès et secrètes. Cet appel d'API REST utilise la méthode et le point de terminaison suivants.

Méthode HTTP Chemin

CORRECTIF

/api/protocols/s3/services/{svm.uuid}/users/{name}
Exemple de boucle
curl
--request PATCH \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users/{name} " \
--include \
--header "Authorization: Basic $BASIC_AUTH" \
--data '{"regenerate_keys":"True"}'
Exemple de sortie JSON
{
  "records": [
    {
      "access_key": "DX12U609DMRVD8U30Z1M",
      "_links": {
        "self": {
          "href": "/api/resourcelink"
        }
      },
      "name": "user1@example.com",
      "secret_key": "<secret_key_value>"
    }
  ],
  "num_records": "1"
}