オブジェクトストアサーバポリシーを作成または変更する
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
オブジェクトストア内の 1 つ以上のバケットに適用できるポリシーを作成できます。オブジェクトストアサーバのポリシーをユーザのグループに関連付けることで、複数のバケット間のリソースアクセスの管理を簡易化することができます。
S3 サーバとバケットを含む S3 対応の SVM がすでに存在している必要があります。
オブジェクトストレージサーバグループにデフォルトまたはカスタムのポリシーを指定することで、 SVM レベルでアクセスポリシーを有効にすることができます。ポリシーは、グループ定義で指定されるまで有効になりません。
オブジェクトストレージサーバのポリシーを使用する場合は、ポリシー自体ではなく、グループ定義でプリンシパル(ユーザとグループ)を指定します。 |
ONTAP S3 リソースへのアクセスに使用する読み取り専用のデフォルトポリシーは 3 つあります。
-
フルアクセス
-
NoS3アクセス
-
ReadOnlyAccess の略
また、新しいカスタムポリシーを作成し、新しいユーザとグループに新しいステートメントを追加したり、既存のステートメントの属性を変更したりすることもできます。その他のオプションについては、を参照してください vserver object-store-server policy
"コマンドリファレンス"。
ONTAP 9.9.1以降では、ONTAP S3サーバでAWSクライアントオブジェクトのタグ付け機能をサポートする場合の処理 GetObjectTagging
、 PutObjectTagging`および `DeleteObjectTagging
バケットまたはグループポリシーを使用して許可されている必要があります。
実行する手順 は、System ManagerまたはCLIを使用するインターフェイスによって異なります。
-
System Managerを使用して、オブジェクトストアサーバポリシー*を作成または変更します
-
Storage VM を編集します。 * Storage > Storage VM* をクリックし、 Storage VM をクリックして * Settings * をクリックし、をクリックします S3 の下。
-
ユーザーの追加: [* ポリシー ] をクリックし、 [ * 追加 ] をクリックします。
-
ポリシー名を入力し、グループのリストから選択します。
-
既存のデフォルトポリシーを選択するか、新しいポリシーを追加します。
グループポリシーを追加または変更する際には、次のパラメータを指定できます。
-
グループ:アクセス権が付与されるグループ。
-
Effect : 1 つ以上のグループへのアクセスを許可または拒否します。
-
アクション:特定のグループの 1 つ以上のバケットで許可されるアクション。
-
リソース:アクセスが許可または拒否されるバケット内のオブジェクトのパスと名前。 例:
-
* は、 Storage VM 内のすべてのバケットへのアクセスを許可します。
-
* bucketname * および * bucketname / ** は、特定のバケット内のすべてのオブジェクトへのアクセスを許可します。
-
* bucketname/readme.txt * を指定すると、特定のバケット内のオブジェクトへのアクセスが許可されます。
-
-
-
必要に応じて、既存のポリシーにステートメントを追加します。
-
-
CLIを使用して、オブジェクトストアサーバポリシー*を作成または変更します
-
オブジェクトストレージサーバポリシーを作成します。
vserver object-store-server policy create -vserver svm_name -policy policy_name [-comment text]
-
ポリシーのステートメントを作成します。
vserver object-store-server policy statement create -vserver svm_name -policy policy_name -effect {allow|deny} -action object_store_actions -resource object_store_resources [-sid text]
次のパラメータでアクセス権限を定義します。
-effect
この文では ' アクセスを許可または拒否できます
-action
を指定できます
*
すべてのアクション、または次の1つ以上のリストを意味します。GetObject, PutObject, DeleteObject, ListBucket,GetBucketAcl, GetObjectAcl, ListAllMyBuckets, ListBucketMultipartUploads,
およびListMultipartUploadParts
。-resource
バケットとバケットに含まれるすべてのオブジェクト。ワイルドカード文字
*
および?
リソースを指定するための正規表現を作成するために使用できます。オプションで、テキスト文字列をコメントとして指定できます
-sid
オプションデフォルトでは、新しいステートメントはステートメントのリストの末尾に追加され、順番に処理されます。後でステートメントを追加または変更する場合は、ステートメントのを変更するオプションがあります
-index
処理順序を変更するための設定。