S3テナント用のグループの作成
S3 ユーザグループの権限を管理するには、フェデレーテッドグループをインポートするか、ローカルグループを作成します。
-
Tenant Managerにはサポートされているブラウザを使用してサインインする必要があります。
-
Root Access 権限を持つユーザグループに属している必要があります。
-
フェデレーテッドグループをインポートする場合は、アイデンティティフェデレーションを設定済みで、フェデレーテッドグループが設定済みのアイデンティティソースにすでに存在している必要があります。
-
* access management * > * Groups * を選択します。
-
「 * グループを作成 * 」を選択します。
-
[ ローカルグループ *] タブを選択してローカルグループを作成するか、または [ フェデレーショングループ *] タブを選択して、以前に設定したアイデンティティソースからグループをインポートします。
StorageGRID システムでシングルサインオン( SSO )が有効になっている場合、ローカルグループに属するユーザは Tenant Manager にサインインできません。ただし、クライアントアプリケーションを使用して、グループの権限に基づいてテナントのリソースを管理することはできます。
-
グループの名前を入力します。
-
* ローカルグループ * :表示名と一意の名前の両方を入力します。表示名はあとで編集できます。
-
* フェデレーショングループ * :一意の名前を入力します。Active Directoryの場合、に関連付けられている一意の名前です
sAMAccountName
属性(Attribute):OpenLDAPの場合は、に関連付けられている一意の名前ですuid
属性(Attribute):
-
-
「 * Continue * 」を選択します。
-
アクセスモードを選択します。ユーザが複数のグループに属していて、いずれかのグループが読み取り専用に設定されている場合、選択したすべての設定と機能に読み取り専用でアクセスできます。
-
* Read-Write * (デフォルト):ユーザは Tenant Manager にログインしてテナントの設定を管理できます。
-
* 読み取り専用 * :ユーザーは設定と機能のみを表示できます。Tenant Manager またはテナント管理 API では、変更や処理を実行することはできません。ローカルの読み取り専用ユーザは自分のパスワードを変更できます。
-
-
このグループのグループ権限を選択します。
テナント管理権限に関する情報を参照してください。
-
「 * Continue * 」を選択します。
-
グループポリシーを選択して、このグループのメンバーに付与する S3 アクセス権限を決定します。
-
* S3 アクセスなし * :デフォルト。バケットポリシーでアクセスが許可されていないかぎり、このグループのユーザは S3 リソースにアクセスできません。このオプションを選択すると、デフォルトでは root ユーザにのみ S3 リソースへのアクセスが許可されます。
-
* 読み取り専用アクセス * :このグループのユーザには、 S3 リソースへの読み取り専用アクセスが許可されます。たとえば、オブジェクトをリストして、オブジェクトデータ、メタデータ、タグを読み取ることができます。このオプションを選択すると、テキストボックスに読み取り専用グループポリシーの JSON 文字列が表示されます。この文字列は編集できません。
-
* フルアクセス * :このグループのユーザには、バケットを含む S3 リソースへのフルアクセスが許可されます。このオプションを選択すると、テキストボックスにフルアクセスグループポリシーの JSON 文字列が表示されます。この文字列は編集できません。
-
* カスタム * :グループ内のユーザーには、テキストボックスで指定した権限が付与されます。言語の構文や例など、グループポリシーの詳細については、 S3 クライアントアプリケーションを実装する手順を参照してください。
-
-
「 * Custom * 」を選択した場合は、グループポリシーを入力します。各グループポリシーのサイズは 5 、 120 バイトまでに制限されています。有効な JSON 形式の文字列を入力する必要があります。
この例では、指定したバケット内のユーザ名(キープレフィックス)に一致するフォルダの表示とアクセスのみがグループのメンバーに許可されます。これらのフォルダのプライバシー設定を決めるときは、他のグループポリシーやバケットポリシーのアクセス権限を考慮する必要があります。
-
フェデレーテッドグループとローカルグループのどちらを作成するかに応じて、表示されるボタンを選択します。
-
フェデレーテッドグループ: * グループを作成 *
-
ローカルグループ: * 続行 *
ローカルグループを作成している場合は、「 * Continue * 」を選択すると、ステップ 4 (ユーザーの追加)が表示されます。この手順は、フェデレーテッドグループに対しては表示されません。
-
-
グループに追加する各ユーザーのチェックボックスをオンにし、 * グループの作成 * を選択します。
必要に応じて、ユーザを追加せずにグループを保存することもできます。後でグループにユーザを追加することも、新しいユーザを追加するときにグループを選択することもできます。
-
[ 完了 ] を選択します。
作成したグループがグループのリストに表示されます。キャッシングに時間がかかるため変更には最大で 15 分を要します。