Creare gruppi per un tenant S3
È possibile gestire le autorizzazioni per i gruppi di utenti S3 importando gruppi federati o creando gruppi locali.
-
Hai effettuato l'accesso al Tenant Manager tramite un"browser web supportato" .
-
Appartieni a un gruppo di utenti che ha il"Permesso di accesso root" .
-
Se si prevede di importare un gruppo federato, è necessario"federazione di identità configurata" e il gruppo federato esiste già nell'origine identità configurata.
-
Se il tuo account tenant ha l'autorizzazione Usa connessione federazione griglia, hai esaminato il flusso di lavoro e le considerazioni per"clonazione di gruppi di tenant e utenti" e hai effettuato l'accesso alla griglia di origine del tenant.
Accedi alla procedura guidata Crea gruppo
Come primo passo, accedi alla procedura guidata Crea gruppo.
-
Selezionare GESTIONE ACCESSI > Gruppi.
-
Se il tuo account tenant dispone dell'autorizzazione Usa connessione federazione griglia, verifica che venga visualizzato un banner blu, che indica che i nuovi gruppi creati su questa griglia verranno clonati nello stesso tenant sull'altra griglia nella connessione. Se questo banner non viene visualizzato, è possibile che tu abbia effettuato l'accesso alla griglia di destinazione del tenant.
-
Seleziona Crea gruppo.
Scegli un tipo di gruppo
È possibile creare un gruppo locale o importare un gruppo federato.
-
Selezionare la scheda Gruppo locale per creare un gruppo locale oppure selezionare la scheda Gruppo federato per importare un gruppo dall'origine identità configurata in precedenza.
Se per il sistema StorageGRID è abilitato l'accesso Single Sign-On (SSO), gli utenti appartenenti a gruppi locali non potranno accedere a Tenant Manager, sebbene possano utilizzare le applicazioni client per gestire le risorse del tenant, in base alle autorizzazioni del gruppo.
-
Inserisci il nome del gruppo.
-
Gruppo locale: immettere sia un nome visualizzato che un nome univoco. Potrai modificare il nome visualizzato in un secondo momento.
Se l'account tenant dispone dell'autorizzazione Usa connessione federazione griglia, si verificherà un errore di clonazione se lo stesso Nome univoco esiste già per il tenant sulla griglia di destinazione. -
Gruppo federato: immettere il nome univoco. Per Active Directory, il nome univoco è il nome associato a
sAMAccountName
attributo. Per OpenLDAP, il nome univoco è il nome associato auid
attributo.
-
-
Selezionare Continua.
Gestisci i permessi del gruppo
Le autorizzazioni di gruppo controllano quali attività gli utenti possono eseguire in Tenant Manager e nell'API Tenant Management.
-
Per Modalità di accesso, seleziona una delle seguenti opzioni:
-
Lettura-scrittura (predefinito): gli utenti possono accedere a Tenant Manager e gestire la configurazione del tenant.
-
Sola lettura: gli utenti possono solo visualizzare impostazioni e funzionalità. Non possono apportare modifiche o eseguire operazioni in Tenant Manager o Tenant Management API. Gli utenti locali con privilegi di sola lettura possono modificare le proprie password.
Se un utente appartiene a più gruppi e uno qualsiasi di essi è impostato su Sola lettura, l'utente avrà accesso in sola lettura a tutte le impostazioni e funzionalità selezionate.
-
-
Seleziona una o più autorizzazioni per questo gruppo.
-
Selezionare Continua.
Imposta i criteri di gruppo S3
I criteri di gruppo determinano quali autorizzazioni di accesso S3 avranno gli utenti.
-
Seleziona il criterio che vuoi utilizzare per questo gruppo.
Criteri di gruppo Descrizione Nessun accesso S3
Predefinito. Gli utenti di questo gruppo non hanno accesso alle risorse S3, a meno che l'accesso non venga concesso tramite un criterio bucket. Se si seleziona questa opzione, per impostazione predefinita solo l'utente root avrà accesso alle risorse S3.
Accesso in sola lettura
Gli utenti di questo gruppo hanno accesso in sola lettura alle risorse S3. Ad esempio, gli utenti di questo gruppo possono elencare oggetti e leggere dati, metadati e tag degli oggetti. Quando si seleziona questa opzione, nella casella di testo viene visualizzata la stringa JSON per un criterio di gruppo di sola lettura. Non puoi modificare questa stringa.
Accesso completo
Gli utenti di questo gruppo hanno accesso completo alle risorse S3, inclusi i bucket. Quando si seleziona questa opzione, nella casella di testo viene visualizzata la stringa JSON per un criterio di gruppo con accesso completo. Non puoi modificare questa stringa.
Mitigazione del ransomware
Questo criterio di esempio si applica a tutti i bucket per questo tenant. Gli utenti di questo gruppo possono eseguire azioni comuni, ma non possono eliminare definitivamente gli oggetti dai bucket in cui è abilitato il controllo delle versioni degli oggetti.
Gli utenti Tenant Manager che dispongono dell'autorizzazione Gestisci tutti i bucket possono ignorare questo criterio di gruppo. Limitare l'autorizzazione Gestisci tutti i bucket agli utenti attendibili e utilizzare l'autenticazione a più fattori (MFA) laddove disponibile.
Costume
Agli utenti del gruppo vengono concesse le autorizzazioni specificate nella casella di testo.
-
Se hai selezionato Personalizzato, inserisci i criteri di gruppo. Ogni criterio di gruppo ha un limite di dimensione di 5.120 byte. È necessario immettere una stringa valida in formato JSON.
Per informazioni dettagliate sui criteri di gruppo, inclusa la sintassi del linguaggio e gli esempi, vedere"Criteri di gruppo di esempio" .
-
Se stai creando un gruppo locale, seleziona Continua. Se stai creando un gruppo federato, seleziona Crea gruppo e Fine.
Aggiungi utenti (solo gruppi locali)
È possibile salvare il gruppo senza aggiungere utenti oppure aggiungere facoltativamente eventuali utenti locali già esistenti.
|
Se l'account tenant dispone dell'autorizzazione Usa connessione federazione griglia, tutti gli utenti selezionati quando si crea un gruppo locale sulla griglia di origine non verranno inclusi quando il gruppo viene clonato sulla griglia di destinazione. Per questo motivo, non selezionare gli utenti quando crei il gruppo. In alternativa, seleziona il gruppo quando crei gli utenti. |
-
Facoltativamente, seleziona uno o più utenti locali per questo gruppo.
-
Seleziona Crea gruppo e Fine.
Il gruppo che hai creato appare nell'elenco dei gruppi.
Se il tuo account tenant dispone dell'autorizzazione Usa connessione federazione griglia e ti trovi sulla griglia di origine del tenant, il nuovo gruppo viene clonato nella griglia di destinazione del tenant. Successo appare come Stato di clonazione nella sezione Panoramica della pagina dei dettagli del gruppo.