Creare gruppi per un tenant S3
È possibile gestire le autorizzazioni per i gruppi di utenti S3 importando gruppi federati o creando gruppi locali.
-
È necessario accedere al tenant manager utilizzando un browser web supportato.
-
È necessario appartenere a un gruppo di utenti che dispone dell'autorizzazione di accesso root. Vedere Permessi di gestione del tenant.
-
Se si intende importare un gruppo federated, la federazione delle identità è stata configurata e il gruppo federated esiste già nell'origine delle identità configurata.
Per informazioni su S3, vedere Utilizzare S3.
-
Selezionare GESTIONE ACCESSI > gruppi.
-
Selezionare Crea gruppo.
-
Selezionare la scheda Local group (Gruppo locale) per creare un gruppo locale oppure la scheda Federated group (Gruppo federato) per importare un gruppo dall'origine dell'identità precedentemente configurata.
Se è attivato il Single Sign-on (SSO) per il sistema StorageGRID, gli utenti appartenenti a gruppi locali non potranno accedere a Gestione tenant, anche se possono utilizzare le applicazioni client per gestire le risorse del tenant, in base alle autorizzazioni di gruppo.
-
Inserire il nome del gruppo.
-
Local group (Gruppo locale): Immettere un nome visualizzato e un nome univoco. È possibile modificare il nome visualizzato in un secondo momento.
-
Federated group: Immettere il nome univoco. Per Active Directory, il nome univoco è il nome associato a
sAMAccountName
attributo. Per OpenLDAP, il nome univoco è il nome associato auid
attributo.
-
-
Selezionare continua.
-
Selezionare una modalità di accesso. Se un utente appartiene a più gruppi e un gruppo è impostato su sola lettura, l'utente avrà accesso in sola lettura a tutte le impostazioni e funzioni selezionate.
-
Read-write (valore predefinito): Gli utenti possono accedere a Tenant Manager e gestire la configurazione del tenant.
-
Sola lettura: Gli utenti possono visualizzare solo le impostazioni e le funzionalità. Non possono apportare modifiche o eseguire operazioni nell'API di gestione del tenant Manager o del tenant. Gli utenti locali di sola lettura possono modificare le proprie password.
-
-
Selezionare le autorizzazioni di gruppo per questo gruppo.
Consultare le informazioni sulle autorizzazioni di gestione del tenant.
-
Selezionare continua.
-
Selezionare un criterio di gruppo per determinare le autorizzazioni di accesso S3 di cui avranno i membri di questo gruppo.
-
Nessun accesso S3: Impostazione predefinita. Gli utenti di questo gruppo non hanno accesso alle risorse S3, a meno che l'accesso non sia concesso con una policy bucket. Se si seleziona questa opzione, solo l'utente root avrà accesso alle risorse S3 per impostazione predefinita.
-
Accesso di sola lettura: Gli utenti di questo gruppo hanno accesso di sola lettura alle risorse S3. Ad esempio, gli utenti di questo gruppo possono elencare gli oggetti e leggere i dati degli oggetti, i metadati e i tag. Quando si seleziona questa opzione, nella casella di testo viene visualizzata la stringa JSON per un criterio di gruppo di sola lettura. Impossibile modificare questa stringa.
-
Accesso completo: Gli utenti di questo gruppo hanno accesso completo alle risorse S3, inclusi i bucket. Quando si seleziona questa opzione, nella casella di testo viene visualizzata la stringa JSON per un criterio di gruppo ad accesso completo. Impossibile modificare questa stringa.
-
Personalizzato: Agli utenti del gruppo vengono concesse le autorizzazioni specificate nella casella di testo. Consultare le istruzioni per l'implementazione di un'applicazione client S3 per informazioni dettagliate sui criteri di gruppo, tra cui la sintassi del linguaggio e gli esempi.
-
-
Se si seleziona Custom, inserire il criterio di gruppo. Ogni policy di gruppo ha un limite di dimensione di 5,120 byte. Immettere una stringa valida formattata con JSON.
In questo esempio, i membri del gruppo possono solo elencare e accedere a una cartella corrispondente al proprio nome utente (prefisso della chiave) nel bucket specificato. Tenere presente che le autorizzazioni di accesso da altre policy di gruppo e la policy del bucket devono essere prese in considerazione quando si determina la privacy di queste cartelle.
-
Selezionare il pulsante visualizzato, a seconda che si stia creando un gruppo federated o un gruppo locale:
-
Gruppo federato: Crea gruppo
-
Gruppo locale: Continua
Se si sta creando un gruppo locale, il passaggio 4 (Aggiungi utenti) viene visualizzato dopo aver selezionato continua. Questo passaggio non viene visualizzato per i gruppi federated.
-
-
Selezionare la casella di controllo per ciascun utente che si desidera aggiungere al gruppo, quindi selezionare Crea gruppo.
In alternativa, è possibile salvare il gruppo senza aggiungere utenti. È possibile aggiungere utenti al gruppo in un secondo momento oppure selezionarlo quando si aggiungono nuovi utenti.
-
Selezionare fine.
Il gruppo creato viene visualizzato nell'elenco dei gruppi. Le modifiche potrebbero richiedere fino a 15 minuti per essere effettive a causa del caching.