日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

管理者グループを管理する

寄稿者

管理者グループを作成して、 1 人以上の管理者ユーザのセキュリティ権限を管理できます。StorageGRID システムへのアクセスを許可するには、ユーザがグループに属している必要があります。

必要なもの
  • を使用して Grid Manager にサインインします サポートされている Web ブラウザ

  • 特定のアクセス権限が必要です。

  • フェデレーテッドグループをインポートする場合は、アイデンティティフェデレーションを設定済みで、フェデレーテッドグループが設定済みのアイデンティティソースにすでに存在している必要があります。

管理者グループを作成します

管理者グループを使用すると、 Grid Manager およびグリッド管理 API のどのユーザがどの機能や処理にアクセスできるかを決定できます。

ウィザードにアクセスします

  1. * configuration * > * Access control * > * Admin groups * を選択します。

  2. 「 * グループを作成 * 」を選択します。

グループタイプを選択します

ローカルグループを作成するか、フェデレーテッドグループをインポートできます。

  • ローカルユーザに権限を割り当てる場合は、ローカルグループを作成します。

  • アイデンティティソースからユーザをインポートするためのフェデレーテッドグループを作成します。

ローカルグループ
  1. * ローカルグループ * を選択します。

  2. グループの表示名を入力します。必要に応じてあとから更新できます。たとえば、「 Maintenance Users 」または「 ILM Administrators 」のようになります。

  3. グループの一意の名前を入力します。あとで更新することはできません。

  4. 「 * Continue * 」を選択します。

フェデレーテッドグループ
  1. [ フェデレーショングループ ] を選択します。

  2. インポートするグループの名前を、設定されているアイデンティティソースに表示されているとおりに入力します。

    • Active Directory および Azure の場合は、 sAMAccountName を使用します。

    • OpenLDAP の場合は、 CN (共通名)を使用します。

    • 別の LDAP を使用する場合は、 LDAP サーバに適切な一意の名前を使用します。

  3. 「 * Continue * 」を選択します。

グループの権限を管理します

  1. * アクセスモード * では、グループ内のユーザが Grid Manager およびグリッド管理 API で設定の変更や処理を実行できるかどうか、あるいは設定と機能のみを表示できるかどうかを選択します。

    • * 読み取り / 書き込み * (デフォルト):ユーザは設定を変更し、管理権限で許可されている操作を実行できます。

    • * 読み取り専用 * :ユーザーは設定と機能のみを表示できます。Grid Manager API や Grid 管理 API で変更や処理を行うことはできません。ローカルの読み取り専用ユーザは自分のパスワードを変更できます。

      注記 ユーザーが複数のグループに属していて、いずれかのグループが * 読み取り専用 * に設定されている場合、ユーザーは選択したすべての設定と機能に読み取り専用でアクセスできます。
  2. 1 つ以上を選択します [Group permissions]

    各グループに 1 つ以上の権限を割り当てる必要があります。そうしないと、グループに属するユーザは StorageGRID にサインインできません。

  3. ローカルグループを作成する場合は、「 * Continue * 」を選択します。フェデレーテッドグループを作成する場合は、 * Create group * および * Finish * を選択します。

ユーザの追加(ローカルグループのみ)

  1. 必要に応じて、このグループに対して 1 人以上のローカルユーザを選択します。

    ローカルユーザをまだ作成していない場合は、ユーザを追加せずにグループを保存できます。このグループは、ユーザページでユーザに追加できます。を参照してくださいユーザを管理します を参照してください。

  2. [ グループの作成 *] と [ 完了 *] を選択します。

管理者グループを表示および編集します

既存のグループの詳細の表示、グループの変更、またはグループの複製を行うことができます。

  • すべてのグループの基本情報を表示するには '[ グループ ] ページの表を確認します

  • 特定のグループのすべての詳細を表示したり、グループを編集したりするには、 * アクション * メニューまたは詳細ページを使用します。

    タスク [ アクション ] メニュー 詳細ページ

    グループの詳細を表示します

    1. グループのチェックボックスをオンにします。

    2. [ * アクション * > * グループの詳細を表示 * ] を選択します。

    テーブルでグループ名を選択します。

    表示名の編集(ローカルグループのみ)

    1. グループのチェックボックスをオンにします。

    2. [ * アクション * > * グループ名の編集 * ] を選択します。

    3. 新しい名前を入力します。

    4. 「変更を保存」を選択します。

    1. グループ名を選択して詳細を表示します。

    2. 編集アイコンを選択します 編集アイコン

    3. 新しい名前を入力します。

    4. 「変更を保存」を選択します。

    アクセスモードまたは権限を編集します

    1. グループのチェックボックスをオンにします。

    2. [ * アクション * > * グループの詳細を表示 * ] を選択します。

    3. 必要に応じて、グループのアクセスモードを変更します。

    4. 必要に応じて、を選択または選択解除します [Group permissions]

    5. 「変更を保存」を選択します。

    1. グループ名を選択して詳細を表示します。

    2. 必要に応じて、グループのアクセスモードを変更します。

    3. 必要に応じて、を選択または選択解除します [Group permissions]

    4. 「変更を保存」を選択します。

グループを複製します

  1. グループのチェックボックスをオンにします。

  2. [ * アクション * > * グループの複製 * ] を選択します。

  3. グループ複製ウィザードを完了します。

グループを削除します

管理者グループを削除すると、システムからそのグループを削除し、グループに関連付けられているすべての権限を削除できます。管理者グループを削除すると、そのグループからすべてのユーザが削除されますが、ユーザは削除されません。

  1. [ グループ ] ページで、削除する各グループのチェックボックスをオンにします。

  2. [ * アクション * > * グループの削除 * ] を選択します。

  3. 「 * グループを削除する * 」を選択します。

グループ権限

管理者ユーザグループを作成する場合は、 Grid Manager の特定の機能へのアクセスを制御する権限を 1 つ以上選択します。その後、作成した 1 つ以上の管理者グループに各ユーザを割り当てて、ユーザが実行できるタスクを決定できます。

各グループに 1 つ以上の権限を割り当てる必要があります。そうしないと、そのグループに属するユーザは Grid Manager またはグリッド管理 API にサインインできません。

デフォルトでは、少なくとも 1 つの権限が割り当てられたグループに属するユーザは次のタスクを実行できます。

  • Grid Manager にサインインします

  • ダッシュボードを表示します

  • ノードページを表示します

  • グリッドトポロジを監視する

  • 現在のアラートと解決済みのアラートを表示します

  • 現在のアラームと履歴アラームの表示(従来のシステム)

  • 自分のパスワードを変更する(ローカルユーザのみ)

  • Configuration ページと Maintenance ページで特定の情報を表示します

権限とアクセスモードの相互作用

すべての権限について、グループの * アクセスモード * 設定は、ユーザーが設定を変更して操作を実行できるかどうか、または関連する設定と機能のみを表示できるかどうかを決定します。ユーザーが複数のグループに属していて、いずれかのグループが * 読み取り専用 * に設定されている場合、ユーザーは選択したすべての設定と機能に読み取り専用でアクセスできます。

以降のセクションでは、管理者グループの作成時または編集時に割り当てることができる権限について説明します。明示的に言及されていない機能には、 * Root Access * 権限が必要です。

ルートアクセス

この権限は、すべてのグリッド管理機能へのアクセスを許可します。

アラームへの確認応答(レガシー)

アラームの確認と応答を許可します(従来型システム)。サインインしたすべてのユーザが現在のアラームと履歴アラームを表示できます。

ユーザにグリッドトポロジの監視とアラームへの確認応答だけを許可するには、この権限を割り当てる必要があります。

テナントの root パスワードを変更する

この権限は、テナントページの * root パスワードの変更 * オプションへのアクセスを許可し、テナントのローカル root ユーザのパスワードを変更できるユーザを制御することを可能にします。この権限は、 S3 キーのインポート機能が有効になっている場合に S3 キーの移行にも使用されます。この権限を持たないユーザには、 *Change root password * オプションは表示されません。

注記 Change root password * オプションが含まれている tenants ページへのアクセスを許可するには、 * Tenant accounts * 権限を割り当てます。

Grid トポロジページの設定

この権限では、サポート * > * ツール * > * グリッドトポロジ * ページの構成タブにアクセスできます。

ILM

この権限は、次の * ILM * メニュー・オプションへのアクセスを提供します。

  • ルール

  • ポリシー

  • イレイジャーコーディング

  • リージョン

  • ストレージプール

注記 ストレージグレードを管理するには、ユーザに * Other Grid Configuration * 権限と * Grid Topology Page Configuration * 権限が必要です。

メンテナンス

これらのオプションを使用するには、 Maintenance 権限が必要です。

  • * 設定 * > * アクセス制御 * :

    • Grid のパスワード

  • * メンテナンス * > * タスク * :

    • 運用停止

    • 拡張

    • オブジェクトの存在チェック

    • リカバリ

  • * メンテナンス * > * システム * :

    • リカバリパッケージ

    • ソフトウェアの更新

  • * サポート * > * ツール * :

    • ログ

Maintenance 権限がないユーザは、次のページを表示できますが、編集することはできません。

  • * メンテナンス * > * ネットワーク * :

    • DNS サーバ

    • Grid ネットワーク

    • NTP サーバ

  • * メンテナンス * > * システム * :

    • 使用許諾

  • * 設定 * > * セキュリティ * :

    • 証明書

    • ドメイン名

  • * コンフィグレーション * > * モニタリング * :

    • 監査と syslog サーバ

アラートの管理

この権限では、アラートを管理するためのオプションにアクセスできます。サイレンス、アラート通知、アラートルールを管理するには、この権限が必要です。

指標クエリ

この権限は、 support>*Tools*>*Metrics* ページにアクセスする権限を提供します。また、グリッド管理 API の「指標」セクションを使用して、カスタムの Prometheus 指標クエリにアクセスすることもできます。

オブジェクトメタデータの検索

この権限は、 * ILM * > * Object metadata lookup * ページへのアクセスを提供します。

その他のグリッド設定

この権限で、追加のグリッド設定オプションにアクセスできます。

重要 これらの追加オプションを表示するには、ユーザに * Grid トポロジページの設定 * 権限が必要です。
  • * ILM * :

    • ストレージグレード

  • * 設定 * > * ネットワーク * :

    • リンクコスト

  • * コンフィグレーション * > * システム * :

    • 表示オプション

    • グリッドオプション

    • ストレージオプション

  • * サポート * > * アラーム(レガシー) * :

    • カスタムイベント

    • グローバルアラーム

    • 従来の E メール設定

ストレージアプライアンス管理者

この権限は、グリッドマネージャを介してストレージアプライアンスの E シリーズ SANtricity システムマネージャにアクセスすることを許可します。

テナントアカウント

テナントページにアクセスし、テナントアカウントを作成、編集、削除できます。この権限を持つユーザは、既存のトラフィック分類ポリシーを表示することもできます。