Note di rilascio
Consentire agli utenti LDAP o di dominio di generare le proprie chiavi di accesso S3
Suggerisci modifiche
-
PDF del sito di questa documentazione
-
Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
-
Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
-
-
Gestione dello storage NAS
-
Configurare NFS con la CLI
-
Gestisci NFS con la CLI
-
Gestire SMB con la CLI
-
Gestire i server SMB
-
Gestire l'accesso ai file utilizzando SMB
-
-
-
Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
-
Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
-
-
Protezione dei dati e disaster recovery
-
Raccolta di documenti PDF separati
Creating your file...
A partire da ONTAP 9.14.1, in qualità di amministratore ONTAP, è possibile creare ruoli personalizzati e concederli a gruppi locali o di dominio o a gruppi LDAP (Lightweight Directory Access Protocol), in modo che gli utenti appartenenti a tali gruppi possano generare le proprie chiavi di accesso e segrete per l'accesso client S3.
Devi eseguire alcuni passaggi di configurazione sulla macchina virtuale di storage, in modo che sia possibile creare e assegnare il ruolo personalizzato all'utente che richiama l'API per la generazione delle chiavi di accesso.
Verificare quanto segue:
-
È stata creata una macchina virtuale di storage abilitata per S3 contenente un server S3. Vedere "Creare una SVM per S3".
-
È stato creato un bucket in quella VM per lo storage. Vedere "Creare un bucket".
-
Il DNS è configurato sulla macchina virtuale di storage. Vedere "Configurare i servizi DNS".
-
Sulla VM di storage viene installato un certificato CA (root Certification Authority) autofirmato del server LDAP. Vedere "Installare il certificato della CA principale autofirmato su SVM".
-
Un client LDAP è configurato con TLS attivato sulla macchina virtuale di storage. Vedere "Creare una configurazione del client LDAP" e .
-
Associare la configurazione del client al Vserver. Vedere "Associare la configurazione del client LDAP alle SVM" e. "creazione ldap del nome del servizio vserver".
-
Se stai utilizzando una macchina virtuale per lo storage dei dati, crea un'interfaccia di rete di gestione (LIF) e una macchina virtuale, oltre a una policy di servizio per la LIF. Vedere "creazione dell'interfaccia di rete" e. "creazione della politica di servizio dell'interfaccia di rete" comandi.
Configurare gli utenti per la generazione delle chiavi di accesso
-
Specificare LDAP come name service database della VM di archiviazione per il gruppo e la password per LDAP:
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
Per ulteriori informazioni su questo comando, vedere "modifica del ns-switch del name service dei servizi vserver" comando.
-
Creare un ruolo personalizzato con accesso all'endpoint API REST per S3 utenti:
security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type>
In questo esempio, ils3-roleViene generato un ruolo per gli utenti sulla VM di storagesvm-1, a cui vengono concessi tutti i diritti di accesso, lettura, creazione e aggiornamento.security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all
Per ulteriori informazioni su questo comando, vedere "accesso di sicurezza creazione ruolo di pausa" comando.
-
Creare un gruppo di utenti LDAP con il comando di accesso alla sicurezza e aggiungere il nuovo ruolo personalizzato per accedere all'endpoint dell'API REST utente S3. Per ulteriori informazioni su questo comando, vedere "creazione dell'accesso di sicurezza" comando.
security login create -user-or-group-name <ldap-group-name> -application http -authentication-method nsswitch -role <custom-role-name> -is-ns-switch-group yes
In questo esempio, il gruppo LDAP
ldap-group-1viene creato insvm-1`e il ruolo personalizzato `s3roleViene aggiunto per accedere all'endpoint API, oltre ad abilitare l'accesso LDAP in modalità di associazione rapida.security login create -user-or-group-name ldap-group-1 -application http -authentication-method nsswitch -role s3role -is-ns-switch-group yes -second-authentication-method none -vserver svm-1 -is-ldap-fastbind yes
Per ulteriori informazioni, vedere "Utilizza il binding rapido LDAP per l'autenticazione nsswitch".
L'aggiunta del ruolo personalizzato al dominio o al gruppo LDAP consente agli utenti di quel gruppo di accedere in modo limitato a ONTAP /api/protocols/s3/services/{svm.uuid}/users endpoint. Richiamando l'API, gli utenti del dominio o del gruppo LDAP possono generare il proprio accesso e le proprie chiavi segrete per accedere al client S3. Possono generare le chiavi solo per se stessi e non per altri utenti.
Come utente S3 o LDAP, generare le proprie chiavi di accesso
A partire da ONTAP 9.14.1, è possibile generare le proprie chiavi di accesso e segrete per l'accesso ai client S3, se l'amministratore ha concesso il ruolo di generazione delle proprie chiavi. Puoi generare le chiavi solo per te utilizzando il seguente endpoint dell'API REST ONTAP.
Questa chiamata API REST utilizza il metodo e l'endpoint seguenti. Per informazioni sugli altri metodi di questo endpoint, vedere il riferimento "Documentazione API".
| Metodo HTTP | Percorso |
|---|---|
POST |
/api/protocolli/s3/servizi/{svm.uuid}/utenti |
curl
--request POST \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users " \
--include \
--header "Accept: */*" \
--header "Authorization: Basic $BASIC_AUTH"
--data '{"name":"_name_"}'{
"records": [
{
"access_key": "Pz3SB54G2B_6dsXQPrA5HrTPcf478qoAW6_Xx6qyqZ948AgZ_7YfCf_9nO87YoZmskxx3cq41U2JAH2M3_fs321B4rkzS3a_oC5_8u7D8j_45N8OsBCBPWGD_1d_ccfq",
"_links": {
"next": {
"href": "/api/resourcelink"
},
"self": {
"href": "/api/resourcelink"
}
},
"name": "user-1",
"secret_key": "A20_tDhC_cux2C2BmtL45bXB_a_Q65c_96FsAcOdo14Az8V31jBKDTc0uCL62Bh559gPB8s9rrn0868QrF38_1dsV2u1_9H2tSf3qQ5xp9NT259C6z_GiZQ883Qn63X1"
}
],
"num_records": "1"
}