Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Créez des groupes pour un locataire S3

Contributeurs
PDF

Vous pouvez gérer les autorisations des groupes d'utilisateurs S3 en important des groupes fédérés ou en créant des groupes locaux.

Avant de commencer

Accédez à l'assistant de création de groupe

Pour la première étape, accédez à l'assistant de création de groupe.

Étapes

  1. Sélectionnez ACCESS MANAGEMENT > Groups.

  2. Si votre compte locataire dispose de l'autorisation utiliser la connexion de fédération de grille, vérifiez qu'une bannière bleue s'affiche, indiquant que les nouveaux groupes créés sur cette grille seront clonés sur le même locataire sur l'autre grille de la connexion. Si cette bannière n'apparaît pas, vous pouvez être connecté à la grille de destination du locataire.

    Image de la bannière bleue sur la page groupes de la grille source des locataires

  3. Sélectionnez Créer groupe.

Choisissez un type de groupe

Vous pouvez créer un groupe local ou importer un groupe fédéré.

Étapes

  1. Sélectionnez l'onglet Groupe local pour créer un groupe local ou sélectionnez l'onglet Groupe fédéré pour importer un groupe à partir du référentiel d'identité configuré précédemment.

    Si l'authentification unique (SSO) est activée pour votre système StorageGRID, les utilisateurs appartenant à des groupes locaux ne pourront pas se connecter au Gestionnaire de locataires, bien qu'ils puissent utiliser les applications client pour gérer les ressources du locataire, en fonction des autorisations de groupe.

  2. Entrez le nom du groupe.

    • Groupe local : saisissez à la fois un nom d'affichage et un nom unique. Vous pouvez modifier le nom d'affichage ultérieurement.

      Remarque Si votre compte de locataire dispose de l'autorisation utiliser la connexion de fédération de grille, une erreur de clonage se produit si le même nom unique existe déjà pour le locataire sur la grille de destination.

    • Groupe fédéré : saisissez le nom unique. Pour Active Directory, le nom unique est le nom associé à l' sAMAccountName attribut. Pour OpenLDAP, le nom unique est le nom associé à uid attribut.

  3. Sélectionnez Continuer.

Gérer les autorisations de groupe

Les autorisations de groupe contrôlent les tâches que les utilisateurs peuvent effectuer dans le Gestionnaire de locataires et l'API de gestion des locataires.

Étapes

  1. Pour Access mode, sélectionnez l'une des options suivantes :

    • Lecture-écriture (par défaut) : les utilisateurs peuvent se connecter au gestionnaire de locataires et gérer la configuration du locataire.

    • Lecture seule : les utilisateurs peuvent uniquement afficher les paramètres et les fonctionnalités. Ils ne peuvent pas apporter de modifications ni exécuter d'opérations dans le gestionnaire de locataires ou l'API de gestion des locataires. Les utilisateurs locaux en lecture seule peuvent modifier leurs propres mots de passe.

      Remarque Si un utilisateur appartient à plusieurs groupes et qu'un groupe est défini sur lecture seule, l'utilisateur dispose d'un accès en lecture seule à tous les paramètres et fonctions sélectionnés.

  2. Sélectionnez une ou plusieurs autorisations pour ce groupe.

    Voir "Autorisations de gestion des locataires".

  3. Sélectionnez Continuer.

Définissez la règle de groupe S3

La stratégie de groupe détermine les autorisations d'accès S3 dont disposent les utilisateurs.

Étapes

  1. Sélectionnez la stratégie que vous souhaitez utiliser pour ce groupe.

    Stratégie de groupe Description

    Aucun accès à S3

    Par défaut. Les utilisateurs de ce groupe n'ont pas accès aux ressources S3, sauf si l'accès est accordé avec une règle de compartiment. Si vous sélectionnez cette option, seul l'utilisateur root peut accéder aux ressources S3 par défaut.

    Accès en lecture seule

    Les utilisateurs de ce groupe disposent d'un accès en lecture seule aux ressources S3. Par exemple, les utilisateurs de ce groupe peuvent afficher la liste des objets et lire les données d'objet, les métadonnées et les balises. Lorsque vous sélectionnez cette option, la chaîne JSON pour une stratégie de groupe en lecture seule s'affiche dans la zone de texte. Vous ne pouvez pas modifier cette chaîne.

    Accès complet

    Les utilisateurs de ce groupe bénéficient d'un accès complet aux ressources S3, y compris les compartiments. Lorsque vous sélectionnez cette option, la chaîne JSON pour une stratégie de groupe à accès complet s'affiche dans la zone de texte. Vous ne pouvez pas modifier cette chaîne.

    Réduction des ransomwares

    Cet exemple de règle s'applique à toutes les compartiments pour ce locataire. Les utilisateurs de ce groupe peuvent effectuer des actions courantes, mais ne peuvent pas supprimer définitivement des objets des compartiments pour lesquels la gestion des versions d'objet est activée.

    Les utilisateurs de tenant Manager disposant de l'autorisation gérer tous les compartiments peuvent remplacer cette stratégie de groupe. Limitez l'autorisation gérer tous les compartiments aux utilisateurs de confiance et utilisez l'authentification multifacteur (MFA), le cas échéant.

    Personnalisées

    Les utilisateurs du groupe se voient accorder les autorisations que vous spécifiez dans la zone de texte.

  2. Si vous avez sélectionné personnalisé, entrez la stratégie de groupe. Chaque stratégie de groupe a une taille limite de 5,120 octets. Vous devez entrer une chaîne au format JSON valide.

    Pour plus d'informations sur les stratégies de groupe, notamment la syntaxe de la langue et des exemples, reportez-vous à la section "Exemples de stratégies de groupe".

  3. Si vous créez un groupe local, sélectionnez Continuer. Si vous créez un groupe fédéré, sélectionnez Créer groupe et Terminer.

Ajouter des utilisateurs (groupes locaux uniquement)

Vous pouvez enregistrer le groupe sans ajouter d'utilisateurs, ou vous pouvez éventuellement ajouter des utilisateurs locaux qui existent déjà.

Remarque Si votre compte de locataire dispose de l'autorisation utiliser la connexion de fédération de grille, tous les utilisateurs que vous sélectionnez lorsque vous créez un groupe local sur la grille source ne sont pas inclus lorsque le groupe est cloné dans la grille de destination. Pour cette raison, ne sélectionnez pas d'utilisateurs lorsque vous créez le groupe. Sélectionnez plutôt le groupe lorsque vous créez les utilisateurs.
Étapes

  1. Vous pouvez également sélectionner un ou plusieurs utilisateurs locaux pour ce groupe.

  2. Sélectionnez Créer groupe et Terminer.

    Le groupe que vous avez créé apparaît dans la liste des groupes.

    Si votre compte locataire dispose de l'autorisation utiliser la connexion de fédération de grille et que vous êtes sur la grille source du locataire, le nouveau groupe est cloné dans la grille de destination du locataire. Succès apparaît comme l'état clonage dans la section vue d'ensemble de la page de détails du groupe.