Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

オブジェクトストアサーバポリシーを作成または変更する

共同作成者

オブジェクトストア内の 1 つ以上のバケットに適用できるポリシーを作成できます。オブジェクトストアサーバのポリシーをユーザのグループに関連付けることで、複数のバケット間のリソースアクセスの管理を簡易化することができます。

作業を開始する前に

S3 サーバとバケットを含む S3 対応の SVM がすでに存在している必要があります。

このタスクについて

オブジェクトストレージサーバグループにデフォルトまたはカスタムのポリシーを指定することで、 SVM レベルでアクセスポリシーを有効にすることができます。ポリシーは、グループ定義で指定されるまで有効になりません。

メモ オブジェクトストレージサーバのポリシーを使用する場合は、ポリシー自体ではなく、グループ定義でプリンシパル(ユーザとグループ)を指定します。

ONTAP S3 リソースへのアクセスに使用する読み取り専用のデフォルトポリシーは 3 つあります。

  • フルアクセス

  • NoS3アクセス

  • ReadOnlyAccess の略

また、新しいカスタムポリシーを作成し、新しいユーザとグループに新しいステートメントを追加したり、既存のステートメントの属性を変更したりすることもできます。その他のオプションについては、を参照してください vserver object-store-server policy "コマンドリファレンス"

ONTAP 9.9.1以降では、ONTAP S3サーバでAWSクライアントオブジェクトのタグ付け機能をサポートする場合の処理 GetObjectTaggingPutObjectTagging`および `DeleteObjectTagging バケットまたはグループポリシーを使用して許可されている必要があります。

実行する手順 は、System ManagerまたはCLIを使用するインターフェイスによって異なります。

System Manager の略
  • System Managerを使用して、オブジェクトストアサーバポリシー*を作成または変更します

手順
  1. Storage VM を編集します。 * Storage > Storage VM* をクリックし、 Storage VM をクリックして * Settings * をクリックし、をクリックします 鉛筆のアイコン S3 の下。

  2. ユーザーの追加: [* ポリシー ] をクリックし、 [ * 追加 ] をクリックします。

    1. ポリシー名を入力し、グループのリストから選択します。

    2. 既存のデフォルトポリシーを選択するか、新しいポリシーを追加します。

      グループポリシーを追加または変更する際には、次のパラメータを指定できます。

      • グループ:アクセス権が付与されるグループ。

      • Effect : 1 つ以上のグループへのアクセスを許可または拒否します。

      • アクション:特定のグループの 1 つ以上のバケットで許可されるアクション。

      • リソース:アクセスが許可または拒否されるバケット内のオブジェクトのパスと名前。 例:

        • * は、 Storage VM 内のすべてのバケットへのアクセスを許可します。

        • * bucketname * および * bucketname / ** は、特定のバケット内のすべてのオブジェクトへのアクセスを許可します。

        • * bucketname/readme.txt * を指定すると、特定のバケット内のオブジェクトへのアクセスが許可されます。

    3. 必要に応じて、既存のポリシーにステートメントを追加します。

CLI の使用
  • CLIを使用して、オブジェクトストアサーバポリシー*を作成または変更します

手順
  1. オブジェクトストレージサーバポリシーを作成します。

    vserver object-store-server policy create -vserver svm_name -policy policy_name [-comment text]

  2. ポリシーのステートメントを作成します。

    vserver object-store-server policy statement create -vserver svm_name -policy policy_name -effect {allow|deny} -action object_store_actions -resource object_store_resources [-sid text]

    次のパラメータでアクセス権限を定義します。

    -effect

    この文では ' アクセスを許可または拒否できます

    -action

    を指定できます * すべてのアクション、または次の1つ以上のリストを意味します。 GetObject, PutObject, DeleteObject, ListBucket,GetBucketAcl, GetObjectAcl, ListAllMyBuckets, ListBucketMultipartUploads, および ListMultipartUploadParts

    -resource

    バケットとバケットに含まれるすべてのオブジェクト。ワイルドカード文字 * および ? リソースを指定するための正規表現を作成するために使用できます。

    オプションで、テキスト文字列をコメントとして指定できます -sid オプション

    デフォルトでは、新しいステートメントはステートメントのリストの末尾に追加され、順番に処理されます。後でステートメントを追加または変更する場合は、ステートメントのを変更するオプションがあります -index 処理順序を変更するための設定。