グループの管理
テナントユーザが実行できるタスクを制御するには、ユーザグループに権限を割り当てます。Active Directory や OpenLDAP などのアイデンティティソースからフェデレーテッドグループをインポートすることも、ローカルグループを作成することもできます。
StorageGRID システムでシングルサインオン( SSO )が有効になっている場合、ローカルユーザはテナントマネージャにサインインできません。ただし、グループの権限に基づいて S3 リソースと Swift リソースにアクセスすることはできます。 |
テナント管理権限
テナントグループを作成する前に、そのグループに割り当てる権限を検討してください。テナント管理権限は、 Tenant Manager またはテナント管理 API を使用してユーザが実行できるタスクを決定します。ユーザは 1 つ以上のグループに属することができます。権限は、ユーザが複数のグループに属している場合に累積されます。
Tenant Manager にサインインするには、またはテナント管理 API を使用するには、少なくとも 1 つの権限が割り当てられたグループにユーザが属している必要があります。サインインできるすべてのユーザは、次のタスクを実行できます。
-
ダッシュボードを表示します
-
自分のパスワードを変更する(ローカルユーザの場合)
すべての権限について、グループのアクセスモード設定によって、ユーザが設定を変更して処理を実行できるかどうか、またはユーザが関連する設定と機能のみを表示できるかどうかが決まります。
ユーザが複数のグループに属していて、いずれかのグループが読み取り専用に設定されている場合、選択したすべての設定と機能に読み取り専用でアクセスできます。 |
グループには次の権限を割り当てることができます。S3 テナントと Swift テナントではグループの権限が異なるので注意してください。キャッシングに時間がかかるため変更には最大で 15 分を要します。
アクセス権 | 説明 |
---|---|
ルートアクセス( Root Access ) |
Tenant Manager とテナント管理 API へのフルアクセスを提供します。
|
管理者 |
Swift テナントのみ。このテナントアカウントの Swift コンテナとオブジェクトへのフルアクセスを提供します
|
自分の S3 クレデンシャルを管理します |
S3 テナントのみ。ユーザに自分の S3 アクセスキーの作成および削除を許可します。この権限を持たないユーザには、「 * storage ( S3 ) * > * My S3 access keys * 」メニューオプションは表示されません。 |
すべてのバケットを管理します |
|
エンドポイントを管理します |
S3 テナントのみ。ユーザが Tenant Manager またはテナント管理 API を使用して、 StorageGRID プラットフォームサービスのデスティネーションとして使用するエンドポイントを作成または編集できるようにします。 この権限を持たないユーザーには、 * プラットフォームサービスエンドポイント * メニューオプションは表示されません。 |