Aggiungere le regole di accesso al criterio bucket predefinito di ONTAP S3
Suggerisci modifiche
PDF
È possibile aggiungere regole di accesso al criterio bucket predefinito. L'ambito del controllo degli accessi è il bucket contenente, quindi è più appropriato quando è presente un singolo bucket.
Una VM di storage abilitata per S3 contenente un server S3 e un bucket deve già esistere.
Prima di concedere le autorizzazioni, è necessario aver già creato utenti o gruppi.
È possibile aggiungere nuove istruzioni per nuovi utenti e gruppi oppure modificare gli attributi delle istruzioni esistenti. Ulteriori informazioni su vserver object-store-server bucket policy nella "Riferimento al comando ONTAP".
Le autorizzazioni per utenti e gruppi possono essere concesse al momento della creazione del bucket o in seguito in base alle necessità. È inoltre possibile modificare la capacità del bucket e l'assegnazione del gruppo di policy QoS.
A partire da ONTAP 9,9.1, se si prevede di supportare la funzionalità di tagging degli oggetti client AWS con il server ONTAP S3, le azioni GetObjectTagging, PutObjectTagging, e. DeleteObjectTagging devono essere consentite utilizzando le policy di gruppo o bucket.
La procedura da seguire dipende dall'interfaccia in uso - System Manager o CLI:
-
Modificare il bucket: Fare clic su Storage > Bucket, fare clic sul bucket desiderato, quindi su Edit (Modifica). Quando si aggiungono o modificano le autorizzazioni, è possibile specificare i seguenti parametri:
-
Principal: L'utente o il gruppo a cui viene concesso l'accesso.
-
Effect: Consente o nega l'accesso a un utente o a un gruppo.
-
Azioni: Azioni consentite nel bucket per un dato utente o gruppo.
-
Resources: Percorsi e nomi degli oggetti all'interno del bucket per i quali viene concesso o negato l'accesso.
I valori predefiniti bucketname e bucketname/* concedono l'accesso a tutti gli oggetti nel bucket. È inoltre possibile concedere l'accesso a singoli oggetti, ad esempio nome_carico di lavoro/*_readme.txt.
-
Condizioni (opzionale): Espressioni che vengono valutate al tentativo di accesso. Ad esempio, è possibile specificare un elenco di indirizzi IP per i quali l'accesso verrà consentito o negato.
-
|
A partire da ONTAP 9.14.1, è possibile specificare le variabili per il criterio bucket nel campo risorse. Queste variabili sono segnaposto che vengono sostituiti con valori contestuali quando il criterio viene valutato. Ad esempio, se ${aws:username} viene specificata come variabile per un criterio, quindi questa variabile viene sostituita con il nome utente del contesto della richiesta e l'azione del criterio può essere eseguita come configurato per quell'utente.
|
-
Aggiungere una dichiarazione a una policy bucket:
vserver object-store-server bucket policy add-statement -vserver svm_name -bucket bucket_name -effect {allow|deny} -action object_store_actions -principal user_and_group_names -resource object_store_resources [-sid text] [-index integer]I seguenti parametri definiscono le autorizzazioni di accesso:
-effectL'istruzione può consentire o negare l'accesso
-actionÈ possibile specificare
*per tutte le azioni o un elenco di una o più delle seguenti azioni:GetObject, PutObject, DeleteObject, ListBucket, GetBucketAcl,GetObjectAcl, ListBucketMultipartUploads,e.ListMultipartUploadParts.-principalUn elenco di uno o più utenti o gruppi S3.
-
È possibile specificare un massimo di 10 utenti o gruppi.
-
Se viene specificato un gruppo S3, deve essere nel modulo
group/group_name. -
*può essere specificato per indicare l'accesso pubblico, ovvero l'accesso senza chiave di accesso e chiave segreta. -
Se non viene specificato alcun principal, a tutti gli utenti S3 nella VM di storage viene concesso l'accesso.
-resourceIl bucket e qualsiasi oggetto in esso contenuto. I caratteri jolly
*e.?può essere utilizzato per formare un'espressione regolare per specificare una risorsa. Per una risorsa, è possibile specificare le variabili in un criterio. Si tratta di variabili dei criteri, che vengono sostituite con i valori contestuali al momento della valutazione del criterio.È possibile specificare una stringa di testo come commento con
-sidopzione. -
Nell'esempio seguente viene creata un'istruzione del criterio del bucket del server di archiviazione oggetti per la VM di archiviazione svm1.example.com e bucket1 che specifica l'accesso consentito a una cartella Leggimi per l'utente del server di archiviazione oggetti user1.
cluster1::> vserver object-store-server bucket policy statement create -vserver svm1.example.com -bucket bucket1 -effect allow -action GetObject,PutObject,DeleteObject,ListBucket -principal user1 -resource bucket1/readme/* -sid "fullAccessToReadmeForUser1"
Nell'esempio seguente viene creata un'istruzione dei criteri del bucket server di archivio oggetti per la VM di storage svm1.example.com e bucket1 che specifica l'accesso consentito a tutti gli oggetti per il gruppo di server di archivio oggetti group1.
cluster1::> vserver object-store-server bucket policy statement create -vserver svm1.example.com -bucket bucket1 -effect allow -action GetObject,PutObject,DeleteObject,ListBucket -principal group/group1 -resource bucket1/* -sid "fullAccessForGroup1"
A partire da ONTAP 9.14.1, è possibile specificare le variabili per un criterio bucket. Nell'esempio seguente viene creata un'istruzione del criterio bucket server per la VM di storage svm1 e. bucket1, e specifica ${aws:username} come variabile per una risorsa di criterio. Quando il criterio viene valutato, la variabile di criterio viene sostituita con il nome utente del contesto della richiesta e l'azione del criterio può essere eseguita come configurato per quell'utente. Ad esempio, quando viene valutata la seguente istruzione di criterio, ${aws:username} Viene sostituito con l'utente che esegue l'operazione S3. Se un utente user1 esegue l'operazione, a cui l'utente può accedere bucket1 come bucket1/user1/*.
cluster1::> object-store-server bucket policy statement create -vserver svm1 -bucket bucket1 -effect allow -action * -principal - -resource bucket1,bucket1/${aws:username}/*##