Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Créer des groupes pour un locataire S3

PDF

Vous pouvez gérer les autorisations des groupes d’utilisateurs S3 en important des groupes fédérés ou en créant des groupes locaux.

Avant de commencer

Accéder à l'assistant de création de groupe

Dans un premier temps, accédez à l’assistant de création de groupe.

Étapes

  1. Sélectionnez GESTION DES ACCÈS > Groupes.

  2. Si votre compte locataire dispose de l'autorisation Utiliser la connexion à la fédération de grille, confirmez qu'une bannière bleue apparaît, indiquant que les nouveaux groupes créés sur cette grille seront clonés sur le même locataire sur l'autre grille de la connexion. Si cette bannière n'apparaît pas, vous êtes peut-être connecté à la grille de destination du locataire.

    image de la bannière bleue sur la page Groupes de la grille source du locataire

  3. Sélectionnez Créer un groupe.

Choisissez un type de groupe

Vous pouvez créer un groupe local ou importer un groupe fédéré.

Étapes

  1. Sélectionnez l'onglet Groupe local pour créer un groupe local ou sélectionnez l'onglet Groupe fédéré pour importer un groupe à partir de la source d'identité précédemment configurée.

    Si l'authentification unique (SSO) est activée pour votre système StorageGRID , les utilisateurs appartenant à des groupes locaux ne pourront pas se connecter au gestionnaire de locataires, bien qu'ils puissent utiliser des applications clientes pour gérer les ressources du locataire, en fonction des autorisations de groupe.

  2. Entrez le nom du groupe.

    • Groupe local : saisissez un nom d’affichage et un nom unique. Vous pouvez modifier le nom d'affichage ultérieurement.

      Remarque Si votre compte locataire dispose de l'autorisation Utiliser la connexion à la fédération de grille, une erreur de clonage se produira si le même Nom unique existe déjà pour le locataire sur la grille de destination.

    • Groupe fédéré : Saisissez le nom unique. Pour Active Directory, le nom unique est le nom associé au sAMAccountName attribut. Pour OpenLDAP, le nom unique est le nom associé au uid attribut.

  3. Sélectionnez Continuer.

Gérer les autorisations de groupe

Les autorisations de groupe contrôlent les tâches que les utilisateurs peuvent effectuer dans Tenant Manager et l'API Tenant Management.

Étapes

  1. Pour le Mode d'accès, sélectionnez l'une des options suivantes :

    • Lecture-écriture (par défaut) : les utilisateurs peuvent se connecter à Tenant Manager et gérer la configuration du locataire.

    • Lecture seule : les utilisateurs peuvent uniquement afficher les paramètres et les fonctionnalités. Ils ne peuvent apporter aucune modification ni effectuer aucune opération dans l'API Tenant Manager ou Tenant Management. Les utilisateurs locaux en lecture seule peuvent modifier leurs propres mots de passe.

      Remarque Si un utilisateur appartient à plusieurs groupes et qu'un groupe est défini sur Lecture seule, l'utilisateur aura un accès en lecture seule à tous les paramètres et fonctionnalités sélectionnés.

  2. Sélectionnez une ou plusieurs autorisations pour ce groupe.

    Voir "Autorisations de gestion des locataires" .

  3. Sélectionnez Continuer.

Définir la stratégie de groupe S3

La stratégie de groupe détermine les autorisations d’accès S3 dont disposeront les utilisateurs.

Étapes

  1. Sélectionnez la politique que vous souhaitez utiliser pour ce groupe.

    Politique de groupe Description

    Pas d'accès S3

    Défaut. Les utilisateurs de ce groupe n'ont pas accès aux ressources S3, sauf si l'accès est accordé avec une stratégie de compartiment. Si vous sélectionnez cette option, seul l'utilisateur root aura accès aux ressources S3 par défaut.

    Accès en lecture seule

    Les utilisateurs de ce groupe ont un accès en lecture seule aux ressources S3. Par exemple, les utilisateurs de ce groupe peuvent répertorier les objets et lire les données d’objet, les métadonnées et les balises. Lorsque vous sélectionnez cette option, la chaîne JSON d’une stratégie de groupe en lecture seule apparaît dans la zone de texte. Vous ne pouvez pas modifier cette chaîne.

    Accès complet

    Les utilisateurs de ce groupe ont un accès complet aux ressources S3, y compris les buckets. Lorsque vous sélectionnez cette option, la chaîne JSON d’une stratégie de groupe à accès complet apparaît dans la zone de texte. Vous ne pouvez pas modifier cette chaîne.

    Atténuation des ransomwares

    Cet exemple de politique s’applique à tous les compartiments de ce locataire. Les utilisateurs de ce groupe peuvent effectuer des actions courantes, mais ne peuvent pas supprimer définitivement les objets des buckets pour lesquels le contrôle de version des objets est activé.

    Les utilisateurs de Tenant Manager qui disposent de l'autorisation Gérer tous les compartiments peuvent remplacer cette stratégie de groupe. Limitez l'autorisation Gérer tous les compartiments aux utilisateurs de confiance et utilisez l'authentification multifacteur (MFA) lorsqu'elle est disponible.

    Coutume

    Les utilisateurs du groupe bénéficient des autorisations que vous spécifiez dans la zone de texte.

  2. Si vous avez sélectionné Personnalisé, saisissez la stratégie de groupe. Chaque stratégie de groupe a une limite de taille de 5 120 octets. Vous devez saisir une chaîne formatée JSON valide.

    Pour des informations détaillées sur les stratégies de groupe, y compris la syntaxe du langage et des exemples, voir"Exemples de stratégies de groupe" .

  3. Si vous créez un groupe local, sélectionnez Continuer. Si vous créez un groupe fédéré, sélectionnez Créer un groupe et Terminer.

Ajouter des utilisateurs (groupes locaux uniquement)

Vous pouvez enregistrer le groupe sans ajouter d'utilisateurs, ou vous pouvez éventuellement ajouter des utilisateurs locaux déjà existants.

Remarque Si votre compte locataire dispose de l'autorisation Utiliser la connexion à la fédération de grille, tous les utilisateurs que vous sélectionnez lorsque vous créez un groupe local sur la grille source ne sont pas inclus lorsque le groupe est cloné sur la grille de destination. Pour cette raison, ne sélectionnez pas d’utilisateurs lorsque vous créez le groupe. Sélectionnez plutôt le groupe lorsque vous créez les utilisateurs.
Étapes

  1. Vous pouvez également sélectionner un ou plusieurs utilisateurs locaux pour ce groupe.

  2. Sélectionnez Créer un groupe et Terminer.

    Le groupe que vous avez créé apparaît dans la liste des groupes.

    Si votre compte locataire dispose de l'autorisation Utiliser la connexion à la fédération de grille et que vous êtes sur la grille source du locataire, le nouveau groupe est cloné sur la grille de destination du locataire. Succès apparaît comme Statut de clonage dans la section Présentation de la page de détails du groupe.