Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

オブジェクトストアサーバポリシーを作成または変更する

共同作成者
PDF

オブジェクトストア内の1つ以上のバケットに適用できるポリシーを作成できます。オブジェクトストアサーバポリシーはユーザのグループに関連付けることができるため、複数のバケットにわたるリソースアクセスの管理が簡易化されます。

開始する前に

S3サーバとバケットを含むS3対応のSVMがすでに存在している必要があります。

タスクの内容

オブジェクトストレージサーバグループにデフォルトまたはカスタムのポリシーを指定することで、SVMレベルでアクセスポリシーを有効にできます。ポリシーは、グループ定義で指定するまで有効になりません。

メモ オブジェクトストレージサーバポリシーを使用する場合は、ポリシー自体ではなく、グループ定義でプリンシパル(ユーザとグループ)を指定します。

ONTAP S3リソースへのアクセスに関するデフォルトの読み取り専用ポリシーは3つあります。

  • フルアクセス

  • NoS3アクセス

  • ReadOnlyAccess

また、新しいカスタムポリシーを作成し、新しいユーザとグループの新しいステートメントを追加したり、既存のステートメントの属性を変更したりすることもできます。その他のオプションについては、を参照して vserver object-store-server policy "コマンドリファレンス"ください。

ONTAP 9 .9.1以降では、ONTAP S3サーバでAWSクライアントオブジェクトのタグ付け機能をサポートする場合は、バケットポリシーまたはグループポリシーを使用して、および `PutObjectTagging`の `DeleteObjectTagging`操作を `GetObjectTagging`許可する必要があります。

実行する手順は、使用するインターフェイス(System ManagerまたはCLI)によって異なります。

System Manager

  • System Managerを使用して、オブジェクトストアサーバポリシー*を作成または変更します

手順

  1. Storage VMを編集します。[ストレージ]>[Storage VM]*をクリックし、Storage VMをクリックして[設定]*をクリックし、[S3]の下をクリックし 編集アイコン ます。

  2. ユーザーの追加: [* ポリシー ] をクリックし、 [ * 追加 ] をクリックします。

    1. ポリシー名を入力し、グループのリストから選択します。

    2. 既存のデフォルトポリシーを選択するか、新しいポリシーを追加します。

      グループポリシーを追加または変更するときは、次のパラメータを指定できます。

      • Group:アクセスが許可されているグループ。

      • 効果:1つ以上のグループへのアクセスを許可または拒否します。

      • actions:特定のグループに対して1つ以上のバケットで許可されるアクション。

      • Resources:1つ以上のバケット内でアクセスが許可または拒否されたオブジェクトのパスと名前。例:

        • * は、 Storage VM 内のすべてのバケットへのアクセスを許可します。

        • * bucketname * および * bucketname / ** は、特定のバケット内のすべてのオブジェクトへのアクセスを許可します。

        • * bucketname/readme.txt * を指定すると、特定のバケット内のオブジェクトへのアクセスが許可されます。

    3. 必要に応じて、既存のポリシーにステートメントを追加します。

CLI

  • CLIを使用して、オブジェクトストアサーバポリシー*を作成または変更します

手順

  1. オブジェクトストレージサーバポリシーを作成します。

    vserver object-store-server policy create -vserver svm_name -policy policy_name [-comment text]

  2. ポリシーのステートメントを作成します。

    vserver object-store-server policy statement create -vserver svm_name -policy policy_name -effect {allow|deny} -action object_store_actions -resource object_store_resources [-sid text]

    次のパラメータでアクセス権限を定義します。

    -effect

    アクセスを許可するか拒否するかを指定します。

    -action

    すべてのアクションを指定するか、または次の1つ以上のリストを指定できます *。および ListMultipartUploadPartsGetObject, PutObject, DeleteObject, ListBucket,GetBucketAcl, GetObjectAcl, ListAllMyBuckets, ListBucketMultipartUploads,

    -resource

    バケットとバケットに含まれるオブジェクト。ワイルドカード文字とを `?`使用 `*`して、リソースを指定するための正規表現を作成できます。

    オプションを使用して、テキスト文字列をコメントとして指定することもできます -sid

    デフォルトでは、新しいステートメントはステートメントのリストの最後に追加され、順番に処理されます。後でステートメントを追加または変更する場合は、ステートメントの設定を変更し `-index`て処理順序を変更できます。