Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Creare gruppi per un tenant S3

È possibile gestire le autorizzazioni per i gruppi di utenti S3 importando gruppi federati o creando gruppi locali.

Prima di iniziare

Accedi alla procedura guidata Crea gruppo

Come primo passo, accedi alla procedura guidata Crea gruppo.

Passi
  1. Selezionare GESTIONE ACCESSI > Gruppi.

  2. Se il tuo account tenant dispone dell'autorizzazione Usa connessione federazione griglia, verifica che venga visualizzato un banner blu, che indica che i nuovi gruppi creati su questa griglia verranno clonati nello stesso tenant sull'altra griglia nella connessione. Se questo banner non viene visualizzato, è possibile che tu abbia effettuato l'accesso alla griglia di destinazione del tenant.

    immagine del banner blu nella pagina Gruppi della griglia di origine del tenant
  3. Seleziona Crea gruppo.

Scegli un tipo di gruppo

È possibile creare un gruppo locale o importare un gruppo federato.

Passi
  1. Selezionare la scheda Gruppo locale per creare un gruppo locale oppure selezionare la scheda Gruppo federato per importare un gruppo dall'origine identità configurata in precedenza.

    Se per il sistema StorageGRID è abilitato l'accesso Single Sign-On (SSO), gli utenti appartenenti a gruppi locali non potranno accedere a Tenant Manager, sebbene possano utilizzare le applicazioni client per gestire le risorse del tenant, in base alle autorizzazioni del gruppo.

  2. Inserisci il nome del gruppo.

    • Gruppo locale: immettere sia un nome visualizzato che un nome univoco. Potrai modificare il nome visualizzato in un secondo momento.

      Nota Se l'account tenant dispone dell'autorizzazione Usa connessione federazione griglia, si verificherà un errore di clonazione se lo stesso Nome univoco esiste già per il tenant sulla griglia di destinazione.
    • Gruppo federato: immettere il nome univoco. Per Active Directory, il nome univoco è il nome associato a sAMAccountName attributo. Per OpenLDAP, il nome univoco è il nome associato a uid attributo.

  3. Selezionare Continua.

Gestisci i permessi del gruppo

Le autorizzazioni di gruppo controllano quali attività gli utenti possono eseguire in Tenant Manager e nell'API Tenant Management.

Passi
  1. Per Modalità di accesso, seleziona una delle seguenti opzioni:

    • Lettura-scrittura (predefinito): gli utenti possono accedere a Tenant Manager e gestire la configurazione del tenant.

    • Sola lettura: gli utenti possono solo visualizzare impostazioni e funzionalità. Non possono apportare modifiche o eseguire operazioni in Tenant Manager o Tenant Management API. Gli utenti locali con privilegi di sola lettura possono modificare le proprie password.

      Nota Se un utente appartiene a più gruppi e uno qualsiasi di essi è impostato su Sola lettura, l'utente avrà accesso in sola lettura a tutte le impostazioni e funzionalità selezionate.
  2. Seleziona una o più autorizzazioni per questo gruppo.

  3. Selezionare Continua.

Imposta i criteri di gruppo S3

I criteri di gruppo determinano quali autorizzazioni di accesso S3 avranno gli utenti.

Passi
  1. Seleziona il criterio che vuoi utilizzare per questo gruppo.

    Criteri di gruppo Descrizione

    Nessun accesso S3

    Predefinito. Gli utenti di questo gruppo non hanno accesso alle risorse S3, a meno che l'accesso non venga concesso tramite un criterio bucket. Se si seleziona questa opzione, per impostazione predefinita solo l'utente root avrà accesso alle risorse S3.

    Accesso in sola lettura

    Gli utenti di questo gruppo hanno accesso in sola lettura alle risorse S3. Ad esempio, gli utenti di questo gruppo possono elencare oggetti e leggere dati, metadati e tag degli oggetti. Quando si seleziona questa opzione, nella casella di testo viene visualizzata la stringa JSON per un criterio di gruppo di sola lettura. Non puoi modificare questa stringa.

    Accesso completo

    Gli utenti di questo gruppo hanno accesso completo alle risorse S3, inclusi i bucket. Quando si seleziona questa opzione, nella casella di testo viene visualizzata la stringa JSON per un criterio di gruppo con accesso completo. Non puoi modificare questa stringa.

    Mitigazione del ransomware

    Questo criterio di esempio si applica a tutti i bucket per questo tenant. Gli utenti di questo gruppo possono eseguire azioni comuni, ma non possono eliminare definitivamente gli oggetti dai bucket in cui è abilitato il controllo delle versioni degli oggetti.

    Gli utenti Tenant Manager che dispongono dell'autorizzazione Gestisci tutti i bucket possono ignorare questo criterio di gruppo. Limitare l'autorizzazione Gestisci tutti i bucket agli utenti attendibili e utilizzare l'autenticazione a più fattori (MFA) laddove disponibile.

    Costume

    Agli utenti del gruppo vengono concesse le autorizzazioni specificate nella casella di testo.

  2. Se hai selezionato Personalizzato, inserisci i criteri di gruppo. Ogni criterio di gruppo ha un limite di dimensione di 5.120 byte. È necessario immettere una stringa valida in formato JSON.

    Per informazioni dettagliate sui criteri di gruppo, inclusa la sintassi del linguaggio e gli esempi, vedere"Criteri di gruppo di esempio" .

  3. Se stai creando un gruppo locale, seleziona Continua. Se stai creando un gruppo federato, seleziona Crea gruppo e Fine.

Aggiungi utenti (solo gruppi locali)

È possibile salvare il gruppo senza aggiungere utenti oppure aggiungere facoltativamente eventuali utenti locali già esistenti.

Nota Se l'account tenant dispone dell'autorizzazione Usa connessione federazione griglia, tutti gli utenti selezionati quando si crea un gruppo locale sulla griglia di origine non verranno inclusi quando il gruppo viene clonato sulla griglia di destinazione. Per questo motivo, non selezionare gli utenti quando crei il gruppo. In alternativa, seleziona il gruppo quando crei gli utenti.
Passi
  1. Facoltativamente, seleziona uno o più utenti locali per questo gruppo.

  2. Seleziona Crea gruppo e Fine.

    Il gruppo che hai creato appare nell'elenco dei gruppi.

    Se il tuo account tenant dispone dell'autorizzazione Usa connessione federazione griglia e ti trovi sulla griglia di origine del tenant, il nuovo gruppo viene clonato nella griglia di destinazione del tenant. Successo appare come Stato di clonazione nella sezione Panoramica della pagina dei dettagli del gruppo.