Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP S3オブジェクトストアサーバポリシーを作成または変更する

共同作成者 netapp-ahibbard netapp-aaron-holt netapp-dbagwell netapp-thomi netapp-aherbin
PDF

オブジェクト ストア内のバケットに適用できるポリシーを作成できます。オブジェクト ストア サーバ ポリシーはユーザのグループに関連付けることができるため、複数のバケットへのリソース アクセスの管理が簡単になります。

開始する前に

S3サーバとバケットを含むS3対応のSVMがすでに存在している必要があります。

タスク概要

オブジェクト ストレージ サーバ グループにデフォルトまたはカスタムのポリシーを指定することで、SVMレベルでアクセス ポリシーを有効にすることができます。ポリシーは、グループ定義で指定するまで有効になりません。

メモ オブジェクト ストレージ サーバ ポリシーを使用する場合、プリンシパル(ユーザとグループ)はポリシーではなくグループ定義に指定します。

ONTAP S3リソースへのアクセスに使用するデフォルトの読み取り専用ポリシーは3つあります。

  • FullAccess

  • NoS3Access

  • ReadOnlyAccess

新しいカスタムポリシーを作成し、新しいユーザーやグループに新しいステートメントを追加したり、既存のステートメントの属性を変更したりすることもできます。"ONTAPコマンド リファレンス"の `vserver object-store-server policy`の詳細をご覧ください。

ONTAP 9.9.1 以降、ONTAP S3 サーバで AWS クライアントオブジェクトのタグ付け機能をサポートする予定の場合は、 GetObjectTaggingPutObjectTagging、および `DeleteObjectTagging`のアクションをバケットまたはグループポリシーを使用して許可する必要があります。

実行する手順は、System ManagerとCLIのどちらのインターフェイスを使用するかによって異なります。

System Manager

System Manager を使用してオブジェクト ストア サーバー ポリシーを作成または変更する

手順

  1. ストレージ VM を編集します。ストレージ > ストレージ VM をクリックし、ストレージ VM をクリックして、設定 をクリックし、S3 の下の 編集アイコン をクリックします。

  2. ユーザーを追加するには:*ポリシー*をクリックし、*追加*をクリックします。

    1. ポリシー名を入力し、リストからグループを選択します。

    2. 既存のデフォルト ポリシーを選択するか、新しいポリシーを追加します。

      グループ ポリシーを追加または変更する際には次のパラメータを指定できます。

      • Group:アクセスを付与するグループ。

      • Effect:1つ以上のグループにアクセスを許可するか拒否するか。

      • Actions:特定のグループに許可する1つ以上のバケット内での処理。

      • リソース:アクセスが許可または拒否される1つ以上のバケット内のオブジェクトのパスと名前。例:

        • * はストレージ VM 内のすべてのバケットへのアクセスを許可します。

        • bucketnamebucketname/* は、特定のバケット内のすべてのオブジェクトへのアクセスを許可します。

        • bucketname/readme.txt は、特定のバケット内のオブジェクトへのアクセスを許可します。

    3. 必要に応じて、既存のポリシーにステートメントを追加します。

CLI

CLI を使用してオブジェクト ストア サーバー ポリシーを作成または変更する

手順

  1. オブジェクト ストレージ サーバ ポリシーを作成します。

    vserver object-store-server policy create -vserver svm_name -policy policy_name [-comment text]

  2. ポリシーのステートメントを作成します。

    vserver object-store-server policy statement create -vserver svm_name -policy policy_name -effect {allow|deny} -action object_store_actions -resource object_store_resources [-sid text]

    次のパラメータでアクセス権限を定義します。

    -effect

    アクセスを許可するか拒否するかを指定します。

    -action

    		 
    `*`すべてのアクションを意味するように指定することも、次の 1 つ以上のリストを指定することもできます: `GetObject, PutObject, DeleteObject, ListBucket,GetBucketAcl, GetObjectAcl, ListAllMyBuckets, ListBucketMultipartUploads,`および `ListMultipartUploadParts`。

    -resource

    バケットとそれに含まれるオブジェクト。ワイルドカード文字 `*`と `?`を使用して、リソースを指定するための正規表現を作成できます。

    		 
    `-sid`オプションを使用して、コメントとしてテキスト文字列をオプションで指定できます。

    デフォルトでは、新しいステートメントはステートメントリストの末尾に追加され、順番に処理されます。後からステートメントを追加または変更する場合は、ステートメントの `-index`設定を変更して処理順序を変更できます。

この手順で説明されているコマンドの詳細については、"ONTAPコマンド リファレンス"を参照してください。