Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

LDAPユーザまたはドメインユーザが自分のS3アクセスキーを生成できるようにする

共同作成者
PDF

ONTAP 9.14.1以降では、ONTAP管理者がカスタムロールを作成してローカルグループ、ドメイングループ、またはLightweight Directory Access Protocol(LDAP)グループに付与し、それらのグループに属するユーザがS3クライアントアクセス用に独自のアクセスキーとシークレットキーを生成できるようにすることができます。

カスタムロールを作成してアクセスキーを生成するAPIを呼び出すユーザに割り当てるには、Storage VMでいくつかの設定手順を実行する必要があります。

作業を開始する前に

次の点を確認します。

  1. S3サーバを含むS3対応Storage VMが作成されている。を参照してください "S3 用の SVM を作成します"

  2. そのStorage VMにバケットが作成されている。を参照してください "バケットを作成する"

  3. Storage VMにDNSが設定されています。を参照してください "DNS サービスを設定する"

  4. LDAPサーバの自己署名ルート認証局(CA)証明書がStorage VMにインストールされている。を参照してください "自己署名ルート CA 証明書を SVM にインストールします"

  5. Storage VMでTLSが有効になっているLDAPクライアントが設定されています。を参照してください "LDAP クライアント設定を作成します" および。

  6. クライアント設定をSVMに関連付けます。を参照してください "LDAP クライアント設定を SVM に関連付けます" および "vserver services name-service ldap createを使用して"

  7. データStorage VMを使用している場合は、管理ネットワークインターフェイス(LIF)とVM上に、LIFのサービスポリシーを作成します。を参照してください "ネットワークインターフェイスの作成" および "network interface service-policy createを実行します" コマンド

アクセスキー生成のためのユーザの設定

  1. グループのStorage VMの_name service database_としてldapを指定し、ldapのパスワードを指定します。

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    このコマンドの詳細については、を参照してください "vserver services name-service ns-switch modify" コマンドを実行します

  2. S3ユーザREST APIエンドポイントへのアクセスを含むカスタムロールを作成します。
    security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type>
    この例では、を使用しています s3-role Storage VMのユーザ用にロールが生成されました `svm-1`をクリックします。読み取り、作成、更新のすべてのアクセス権が付与されます。

    security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all

    このコマンドの詳細については、を参照してください "security login rest -role create" コマンドを実行します

  3. security loginコマンドを使用してLDAPユーザグループを作成し、S3ユーザREST APIエンドポイントにアクセスするための新しいカスタムロールを追加します。このコマンドの詳細については、を参照してください "security login create を実行します" コマンドを実行します

    security login create -user-or-group-name <ldap-group-name> -application http -authentication-method nsswitch -role <custom-role-name> -is-ns-switch-group yes

    この例では、LDAPグループ ldap-group-1 が作成された場所 svm-1、およびカスタムロール s3role APIエンドポイントにアクセスするために追加され、高速バインドモードでLDAPアクセスを有効にします。

    security login create -user-or-group-name ldap-group-1 -application http -authentication-method nsswitch -role s3role -is-ns-switch-group yes -second-authentication-method none -vserver svm-1 -is-ldap-fastbind yes

    詳細については、を参照してください "nsswitch認証にLDAP高速バインドを使用できます"

ドメインまたはLDAPグループにカスタムロールを追加すると、そのグループのユーザにONTAPへの制限付きアクセスが許可されます。 /api/protocols/s3/services/{svm.uuid}/users エンドポイント。APIを呼び出すことで、ドメインまたはLDAPグループのユーザは、S3クライアントにアクセスするための独自のアクセスキーとシークレットキーを生成できます。キーを生成できるのは自分だけで、他のユーザーには生成できません。

S3ユーザまたはLDAPユーザとして、独自のアクセスキーを生成

ONTAP 9.14.1以降では、S3クライアントにアクセスするための独自のアクセスキーとシークレットキーを生成できます(管理者が独自のキーを生成するロールをユーザに許可している場合)。次のONTAP REST APIエンドポイントを使用すると、自分専用のキーを生成できます。

HTTPメソッドとエンドポイント

このREST API呼び出しでは、次のメソッドとエンドポイントを使用します。このエンドポイントの他のメソッドの詳細については、リファレンスを参照してください。 "APIドキュメント"

HTTP メソッド パス

投稿( Post )

/api/protocols/s3/services/{svm.uuid}/users
カールの例
curl
--request POST \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users " \
--include \
--header "Accept: */*" \
--header "Authorization: Basic $BASIC_AUTH"
--data '{"name":"_name_"}'
JSON 出力例
{
  "records": [
    {
      "access_key": "Pz3SB54G2B_6dsXQPrA5HrTPcf478qoAW6_Xx6qyqZ948AgZ_7YfCf_9nO87YoZmskxx3cq41U2JAH2M3_fs321B4rkzS3a_oC5_8u7D8j_45N8OsBCBPWGD_1d_ccfq",
      "_links": {
        "next": {
          "href": "/api/resourcelink"
        },
        "self": {
          "href": "/api/resourcelink"
        }
      },
      "name": "user-1",
      "secret_key": "A20_tDhC_cux2C2BmtL45bXB_a_Q65c_96FsAcOdo14Az8V31jBKDTc0uCL62Bh559gPB8s9rrn0868QrF38_1dsV2u1_9H2tSf3qQ5xp9NT259C6z_GiZQ883Qn63X1"
    }
  ],
  "num_records": "1"
}