ONTAP S3オブジェクトストアサーバポリシーの作成または変更
オブジェクトストア内の1つ以上のバケットに適用できるポリシーを作成できます。オブジェクトストアサーバポリシーはユーザのグループに関連付けることができるため、複数のバケットにわたるリソースアクセスの管理が簡易化されます。
S3サーバとバケットを含むS3対応のSVMがすでに存在している必要があります。
オブジェクトストレージサーバグループにデフォルトまたはカスタムのポリシーを指定することで、SVMレベルでアクセスポリシーを有効にできます。ポリシーは、グループ定義で指定するまで有効になりません。
オブジェクトストレージサーバポリシーを使用する場合は、ポリシー自体ではなく、グループ定義でプリンシパル(ユーザとグループ)を指定します。 |
ONTAP S3リソースへのアクセスに関するデフォルトの読み取り専用ポリシーは3つあります。
-
フルアクセス
-
NoS3アクセス
-
ReadOnlyAccess
また、新しいカスタムポリシーを作成し、新しいユーザとグループの新しいステートメントを追加したり、既存のステートメントの属性を変更したりすることもできます。リンクhttps://docsの詳細については、ONTAPコマンドリファレンスを参照してください。NetApp .com /us-en/ ONTAP -CLI/ index.html[vserver object-store-server policy
^]コマンドを参照してください。
ONTAP 9 .9.1以降では、ONTAP S3サーバでAWSクライアントオブジェクトのタグ付け機能をサポートする場合は、バケットポリシーまたはグループポリシーを使用して、および `PutObjectTagging`の `DeleteObjectTagging`操作を `GetObjectTagging`許可する必要があります。
実行する手順は、使用するインターフェイス(System ManagerまたはCLI)によって異なります。
-
System Managerを使用して、オブジェクトストアサーバポリシー*を作成または変更します
-
Storage VMを編集します。[ストレージ]>[Storage VM]*をクリックし、Storage VMをクリックして[設定]*をクリックし、[S3]の下をクリックし ます。
-
ユーザーの追加: [* ポリシー ] をクリックし、 [ * 追加 ] をクリックします。
-
ポリシー名を入力し、グループのリストから選択します。
-
既存のデフォルトポリシーを選択するか、新しいポリシーを追加します。
グループポリシーを追加または変更するときは、次のパラメータを指定できます。
-
Group:アクセスが許可されているグループ。
-
効果:1つ以上のグループへのアクセスを許可または拒否します。
-
actions:特定のグループに対して1つ以上のバケットで許可されるアクション。
-
Resources:1つ以上のバケット内でアクセスが許可または拒否されたオブジェクトのパスと名前。例:
-
* は、 Storage VM 内のすべてのバケットへのアクセスを許可します。
-
* bucketname * および * bucketname / ** は、特定のバケット内のすべてのオブジェクトへのアクセスを許可します。
-
* bucketname/readme.txt * を指定すると、特定のバケット内のオブジェクトへのアクセスが許可されます。
-
-
-
必要に応じて、既存のポリシーにステートメントを追加します。
-
-
CLIを使用して、オブジェクトストアサーバポリシー*を作成または変更します
-
オブジェクトストレージサーバポリシーを作成します。
vserver object-store-server policy create -vserver svm_name -policy policy_name [-comment text]
-
ポリシーのステートメントを作成します。
vserver object-store-server policy statement create -vserver svm_name -policy policy_name -effect {allow|deny} -action object_store_actions -resource object_store_resources [-sid text]
次のパラメータでアクセス権限を定義します。
-effect
アクセスを許可するか拒否するかを指定します。
-action
すべてのアクションを指定するか、または次の1つ以上のリストを指定できます
*
。およびListMultipartUploadParts
。GetObject, PutObject, DeleteObject, ListBucket,GetBucketAcl, GetObjectAcl, ListAllMyBuckets, ListBucketMultipartUploads,
-resource
バケットとバケットに含まれるオブジェクト。ワイルドカード文字とを `?`使用 `*`して、リソースを指定するための正規表現を作成できます。
オプションを使用して、テキスト文字列をコメントとして指定することもできます
-sid
。デフォルトでは、新しいステートメントはステートメントのリストの最後に追加され、順番に処理されます。後でステートメントを追加または変更する場合は、ステートメントの設定を変更し `-index`て処理順序を変更できます。
この手順で説明されているコマンドの詳細については、を"ONTAPコマンド リファレンス"参照してください。