Note di rilascio
Creare o modificare un criterio del server di archiviazione oggetti ONTAP S3
Suggerisci modifiche
-
PDF del sito di questa documentazione
-
Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
-
Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
-
-
Gestione dello storage NAS
-
Configurare NFS con la CLI
-
Gestisci NFS con la CLI
-
Gestire SMB con la CLI
-
Gestire i server SMB
-
Gestire l'accesso ai file utilizzando SMB
-
-
-
Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
-
Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
-
-
Protezione dei dati e disaster recovery
-
Protezione dei dati mediante backup su nastro
-
-
Raccolta di documenti PDF separati
Creating your file...
È possibile creare policy applicabili a uno o più bucket in un archivio di oggetti. È possibile collegare le policy del server dell'archivio di oggetti a gruppi di utenti, semplificando in tal modo la gestione dell'accesso alle risorse in più bucket.
Una SVM abilitata per S3 contenente un server S3 e un bucket deve già esistere.
È possibile attivare i criteri di accesso a livello di SVM specificando un criterio predefinito o personalizzato in un gruppo di server di storage a oggetti. I criteri non hanno effetto fino a quando non vengono specificati nella definizione di gruppo.
|
Quando si utilizzano i criteri del server di storage a oggetti, si specificano le entità (ovvero utenti e gruppi) nella definizione di gruppo, non nel criterio stesso. |
Esistono tre criteri predefiniti di sola lettura per l'accesso alle risorse di ONTAP S3:
-
Accesso completo
-
NoS3Accesso
-
ReadOnlyAccess
È inoltre possibile creare nuovi criteri personalizzati, quindi aggiungere nuove istruzioni per nuovi utenti e gruppi oppure modificare gli attributi delle istruzioni esistenti. Ulteriori informazioni su vserver object-store-server policy nella "Riferimento al comando ONTAP".
A partire da ONTAP 9,9.1, se si prevede di supportare la funzionalità di tagging degli oggetti client AWS con il server ONTAP S3, le azioni GetObjectTagging, PutObjectTagging, e. DeleteObjectTagging devono essere consentite utilizzando le policy di gruppo o bucket.
La procedura da seguire dipende dall'interfaccia in uso - System Manager o CLI:
Utilizzare System Manager per creare o modificare un criterio del server archivio oggetti
-
Modificare la VM di archiviazione: Fare clic su Storage > Storage VM, fare clic sulla VM di archiviazione, fare clic su Settings e quindi su
sotto S3. -
Aggiungere un utente: Fare clic su Policies, quindi su Add.
-
Inserire un nome di policy e selezionarlo da un elenco di gruppi.
-
Selezionare un criterio predefinito esistente o aggiungerne uno nuovo.
Quando si aggiunge o si modifica un criterio di gruppo, è possibile specificare i seguenti parametri:
-
Group (Gruppo): I gruppi ai quali viene concesso l'accesso.
-
Effetto: Consente o nega l'accesso a uno o più gruppi.
-
Azioni: Azioni consentite in uno o più bucket per un dato gruppo.
-
Resources (risorse): Percorsi e nomi di oggetti all'interno di uno o più bucket per i quali l'accesso viene concesso o negato. Ad esempio:
-
* Garantisce l'accesso a tutti i bucket nella VM di storage.
-
bucketname e bucketname/* concedono l'accesso a tutti gli oggetti in un bucket specifico.
-
bucketname/readme.txt concede l'accesso a un oggetto in un bucket specifico.
-
-
-
Se lo si desidera, aggiungere le istruzioni ai criteri esistenti.
-
Utilizzare la CLI per creare o modificare un criterio del server archivio oggetti
-
Creare un criterio del server di storage a oggetti:
vserver object-store-server policy create -vserver svm_name -policy policy_name [-comment text] -
Creare un'istruzione per la policy:
vserver object-store-server policy statement create -vserver svm_name -policy policy_name -effect {allow|deny} -action object_store_actions -resource object_store_resources [-sid text]I seguenti parametri definiscono le autorizzazioni di accesso:
-effectL'istruzione può consentire o negare l'accesso
-actionÈ possibile specificare
*per tutte le azioni o un elenco di una o più delle seguenti azioni:GetObject, PutObject, DeleteObject, ListBucket,GetBucketAcl, GetObjectAcl, ListAllMyBuckets, ListBucketMultipartUploads,e.ListMultipartUploadParts.-resourceIl bucket e qualsiasi oggetto in esso contenuto. I caratteri jolly
*e.?può essere utilizzato per formare un'espressione regolare per specificare una risorsa.È possibile specificare una stringa di testo come commento con
-sidopzione.Per impostazione predefinita, le nuove dichiarazioni vengono aggiunte alla fine dell'elenco delle dichiarazioni, che vengono elaborate in ordine. Quando si aggiungono o modificano le dichiarazioni in un secondo momento, è possibile modificarle
-indeximpostazione per modificare l'ordine di elaborazione.
Per ulteriori informazioni sui comandi descritti in questa procedura, consultare la "Riferimento al comando ONTAP".
