Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

LDAPユーザまたはドメインユーザが自分のS3アクセスキーを生成できるようにする

共同作成者
PDF

ONTAP 9 .14.1以降では、ONTAP管理者としてカスタムロールを作成し、ローカルグループ、ドメイングループ、またはLightweight Directory Access Protocol(LDAP)グループに付与して、それらのグループに属するユーザがS3クライアントアクセス用の独自のアクセスキーとシークレットキーを生成できるようにすることができます。

カスタムロールを作成してアクセスキーを生成するAPIを呼び出すユーザに割り当てるには、Storage VMでいくつかの設定手順を実行する必要があります。

開始する前に

次の点を確認します。

  1. S3サーバを含むS3対応Storage VMが作成されている。を参照して "S3用のSVMの作成"

  2. そのStorage VMにバケットが作成されている。を参照して "バケットを作成する"

  3. Storage VMにDNSが設定されています。を参照して "DNSサービスの設定"

  4. LDAPサーバの自己署名ルート認証局(CA)証明書がStorage VMにインストールされている。を参照して "自己署名ルートCA証明書をSVMにインストールする"

  5. Storage VMでTLSが有効になっているLDAPクライアントが設定されています。を参照して "LDAPクライアント設定を作成する"

  6. クライアント設定をSVMに関連付けます。および "vserver services name-service ldap createを使用して"を参照してください"LDAPクライアント設定をSVMに関連付ける"

  7. データStorage VMを使用している場合は、管理ネットワークインターフェイス(LIF)とVM上に、LIFのサービスポリシーを作成します。コマンドと "network interface service-policy createを実行します"コマンドを参照してください "ネットワークインターフェイスの作成"

アクセスキー生成のためのユーザの設定

  1. グループのStorage VMの_name service database_としてldapを指定し、ldapのパスワードを指定します。

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    このコマンドの詳細については、コマンドを参照して"vserver services name-service ns-switch modify"ください。

  2. S3ユーザREST APIエンドポイントへのアクセスを含むカスタムロールを作成:
    security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type>`この例では `s3-role、Storage VM上のユーザに対してロールが生成され svm-1、読み取り、作成、更新のすべてのアクセス権が付与されます。

    security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all

    このコマンドの詳細については、コマンドを参照して"security login rest -role create"ください。

  3. security loginコマンドを使用してLDAPユーザグループを作成し、S3ユーザREST APIエンドポイントにアクセスするための新しいカスタムロールを追加します。このコマンドの詳細については、コマンドを参照して"security login create"ください。

    security login create -user-or-group-name <ldap-group-name> -application http -authentication-method nsswitch -role <custom-role-name> -is-ns-switch-group yes

    この例では、LDAPグループを ldap-group-1`に作成し `svm-1、APIエンドポイントにアクセスするためのカスタムロールを `s3role`追加し、高速バインドモードでLDAPアクセスを有効にします。

    security login create -user-or-group-name ldap-group-1 -application http -authentication-method nsswitch -role s3role -is-ns-switch-group yes -second-authentication-method none -vserver svm-1 -is-ldap-fastbind yes

    詳細については、を参照してください "nsswitch認証にLDAP高速バインドを使用する"

ドメインまたはLDAPグループにカスタムロールを追加すると、そのグループのユーザはONTAPエンドポイントへの制限付きアクセスが許可されます /api/protocols/s3/services/{svm.uuid}/users。APIを呼び出すことで、ドメインまたはLDAPグループのユーザは、S3クライアントにアクセスするための独自のアクセスキーとシークレットキーを生成できます。キーを生成できるのは自分だけで、他のユーザーには生成できません。

S3ユーザまたはLDAPユーザとして、独自のアクセスキーを生成

ONTAP 9 14.1以降では、S3クライアントにアクセスするための独自のアクセスキーとシークレットキーを生成できます(管理者が独自のキーを生成するロールをユーザに許可している場合)。次のONTAP REST APIエンドポイントを使用すると、自分専用のキーを生成できます。

HTTPメソッドとエンドポイント

このREST API呼び出しでは、次のメソッドとエンドポイントを使用します。このエンドポイントの他のメソッドの詳細については、リファレンスを参照して "APIドキュメント"ください。

HTTPメソッド パス

投稿

/api/protocols/s3/services/{svm.uuid}/users
カールの例
curl
--request POST \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users " \
--include \
--header "Accept: */*" \
--header "Authorization: Basic $BASIC_AUTH"
--data '{"name":"_name_"}'
JSON出力の例
{
  "records": [
    {
      "access_key": "Pz3SB54G2B_6dsXQPrA5HrTPcf478qoAW6_Xx6qyqZ948AgZ_7YfCf_9nO87YoZmskxx3cq41U2JAH2M3_fs321B4rkzS3a_oC5_8u7D8j_45N8OsBCBPWGD_1d_ccfq",
      "_links": {
        "next": {
          "href": "/api/resourcelink"
        },
        "self": {
          "href": "/api/resourcelink"
        }
      },
      "name": "user-1",
      "secret_key": "A20_tDhC_cux2C2BmtL45bXB_a_Q65c_96FsAcOdo14Az8V31jBKDTc0uCL62Bh559gPB8s9rrn0868QrF38_1dsV2u1_9H2tSf3qQ5xp9NT259C6z_GiZQ883Qn63X1"
    }
  ],
  "num_records": "1"
}