LDAPユーザまたはドメインユーザが自分のS3アクセスキーを生成できるようにする
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
ONTAP 9.14.1以降では、ONTAP管理者がカスタムロールを作成してローカルグループ、ドメイングループ、またはLightweight Directory Access Protocol(LDAP)グループに付与し、それらのグループに属するユーザがS3クライアントアクセス用に独自のアクセスキーとシークレットキーを生成できるようにすることができます。
カスタムロールを作成してアクセスキーを生成するAPIを呼び出すユーザに割り当てるには、Storage VMでいくつかの設定手順を実行する必要があります。
次の点を確認します。
-
S3サーバを含むS3対応Storage VMが作成されている。を参照してください "S3 用の SVM を作成します"。
-
そのStorage VMにバケットが作成されている。を参照してください "バケットを作成する"。
-
Storage VMにDNSが設定されています。を参照してください "DNS サービスを設定する"。
-
LDAPサーバの自己署名ルート認証局(CA)証明書がStorage VMにインストールされている。を参照してください "自己署名ルート CA 証明書を SVM にインストールします"。
-
Storage VMでTLSが有効になっているLDAPクライアントが設定されています。を参照してください "LDAP クライアント設定を作成します" および。
-
クライアント設定をSVMに関連付けます。を参照してください "LDAP クライアント設定を SVM に関連付けます" および "vserver services name-service ldap createを使用して"。
-
データStorage VMを使用している場合は、管理ネットワークインターフェイス(LIF)とVM上に、LIFのサービスポリシーを作成します。を参照してください "ネットワークインターフェイスの作成" および "network interface service-policy createを実行します" コマンド
アクセスキー生成のためのユーザの設定
-
グループのStorage VMの_name service database_としてldapを指定し、ldapのパスワードを指定します。
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
このコマンドの詳細については、を参照してください "vserver services name-service ns-switch modify" コマンドを実行します
-
S3ユーザREST APIエンドポイントへのアクセスを含むカスタムロールを作成します。
security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type>
この例では、を使用していますs3-role
Storage VMのユーザ用にロールが生成されました `svm-1`をクリックします。読み取り、作成、更新のすべてのアクセス権が付与されます。security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all
このコマンドの詳細については、を参照してください "security login rest -role create" コマンドを実行します
-
security loginコマンドを使用してLDAPユーザグループを作成し、S3ユーザREST APIエンドポイントにアクセスするための新しいカスタムロールを追加します。このコマンドの詳細については、を参照してください "security login create を実行します" コマンドを実行します
security login create -user-or-group-name <ldap-group-name> -application http -authentication-method nsswitch -role <custom-role-name> -is-ns-switch-group yes
この例では、LDAPグループ
ldap-group-1
が作成された場所svm-1
、およびカスタムロールs3role
APIエンドポイントにアクセスするために追加され、高速バインドモードでLDAPアクセスを有効にします。security login create -user-or-group-name ldap-group-1 -application http -authentication-method nsswitch -role s3role -is-ns-switch-group yes -second-authentication-method none -vserver svm-1 -is-ldap-fastbind yes
詳細については、を参照してください "nsswitch認証にLDAP高速バインドを使用できます"。
ドメインまたはLDAPグループにカスタムロールを追加すると、そのグループのユーザにONTAPへの制限付きアクセスが許可されます。 /api/protocols/s3/services/{svm.uuid}/users
エンドポイント。APIを呼び出すことで、ドメインまたはLDAPグループのユーザは、S3クライアントにアクセスするための独自のアクセスキーとシークレットキーを生成できます。キーを生成できるのは自分だけで、他のユーザーには生成できません。
S3ユーザまたはLDAPユーザとして、独自のアクセスキーを生成
ONTAP 9.14.1以降では、S3クライアントにアクセスするための独自のアクセスキーとシークレットキーを生成できます(管理者が独自のキーを生成するロールをユーザに許可している場合)。次のONTAP REST APIエンドポイントを使用すると、自分専用のキーを生成できます。
このREST API呼び出しでは、次のメソッドとエンドポイントを使用します。このエンドポイントの他のメソッドの詳細については、リファレンスを参照してください。 "APIドキュメント"。
HTTP メソッド | パス |
---|---|
投稿( Post ) |
/api/protocols/s3/services/{svm.uuid}/users |
curl
--request POST \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users " \
--include \
--header "Accept: */*" \
--header "Authorization: Basic $BASIC_AUTH"
--data '{"name":"_name_"}'
{ "records": [ { "access_key": "Pz3SB54G2B_6dsXQPrA5HrTPcf478qoAW6_Xx6qyqZ948AgZ_7YfCf_9nO87YoZmskxx3cq41U2JAH2M3_fs321B4rkzS3a_oC5_8u7D8j_45N8OsBCBPWGD_1d_ccfq", "_links": { "next": { "href": "/api/resourcelink" }, "self": { "href": "/api/resourcelink" } }, "name": "user-1", "secret_key": "A20_tDhC_cux2C2BmtL45bXB_a_Q65c_96FsAcOdo14Az8V31jBKDTc0uCL62Bh559gPB8s9rrn0868QrF38_1dsV2u1_9H2tSf3qQ5xp9NT259C6z_GiZQ883Qn63X1" } ], "num_records": "1" }