Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

S3 テナント用のグループを作成します

共同作成者
PDF

S3 ユーザグループの権限を管理するには、フェデレーテッドグループをインポートするか、ローカルグループを作成します。

必要なもの

  • Tenant Manager にはを使用してサインインする必要があります サポートされている Web ブラウザ

  • Root Access 権限を持つユーザグループに属している必要があります。を参照してください テナント管理権限

  • フェデレーテッドグループをインポートする場合は、アイデンティティフェデレーションを設定済みで、フェデレーテッドグループが設定済みのアイデンティティソースにすでに存在している必要があります。

S3 の詳細については、を参照してください S3 を使用する

手順

  1. * access management * > * Groups * を選択します。

    Access Control > Groups ページを示すスクリーンショット

  2. 「 * グループを作成 * 」を選択します。

  3. [ ローカルグループ *] タブを選択してローカルグループを作成するか、または [ フェデレーショングループ *] タブを選択して、以前に設定したアイデンティティソースからグループをインポートします。

    StorageGRID システムでシングルサインオン( SSO )が有効になっている場合、ローカルグループに属するユーザは Tenant Manager にサインインできません。ただし、クライアントアプリケーションを使用して、グループの権限に基づいてテナントのリソースを管理することはできます。

  4. グループの名前を入力します。

    • * ローカルグループ * :表示名と一意の名前の両方を入力します。表示名はあとで編集できます。

    • * フェデレーショングループ * :一意の名前を入力します。Active Directory の場合は 'sAMAccountName 属性に関連付けられた一意の名前ですOpenLDAP の場合 ' 一意の名前は 'uid' 属性に関連付けられている名前です

  5. 「 * Continue * 」を選択します。

  6. アクセスモードを選択します。ユーザが複数のグループに属していて、いずれかのグループが読み取り専用に設定されている場合、選択したすべての設定と機能に読み取り専用でアクセスできます。

    • * Read-Write * (デフォルト):ユーザは Tenant Manager にログインしてテナントの設定を管理できます。

    • * 読み取り専用 * :ユーザーは設定と機能のみを表示できます。Tenant Manager またはテナント管理 API では、変更や処理を実行することはできません。ローカルの読み取り専用ユーザは自分のパスワードを変更できます。

  7. このグループのグループ権限を選択します。

    テナント管理権限に関する情報を参照してください。

  8. 「 * Continue * 」を選択します。

  9. グループポリシーを選択して、このグループのメンバーに付与する S3 アクセス権限を決定します。

    • * S3 アクセスなし * :デフォルト。バケットポリシーでアクセスが許可されていないかぎり、このグループのユーザは S3 リソースにアクセスできません。このオプションを選択すると、デフォルトでは root ユーザにのみ S3 リソースへのアクセスが許可されます。

    • * 読み取り専用アクセス * :このグループのユーザには、 S3 リソースへの読み取り専用アクセスが許可されます。たとえば、オブジェクトをリストして、オブジェクトデータ、メタデータ、タグを読み取ることができます。このオプションを選択すると、テキストボックスに読み取り専用グループポリシーの JSON 文字列が表示されます。この文字列は編集できません。

    • * フルアクセス * :このグループのユーザには、バケットを含む S3 リソースへのフルアクセスが許可されます。このオプションを選択すると、テキストボックスにフルアクセスグループポリシーの JSON 文字列が表示されます。この文字列は編集できません。

    • * カスタム * :グループ内のユーザーには、テキストボックスで指定した権限が付与されます。言語の構文や例など、グループポリシーの詳細については、 S3 クライアントアプリケーションを実装する手順を参照してください。

  10. 「 * Custom * 」を選択した場合は、グループポリシーを入力します。各グループポリシーのサイズは 5 、 120 バイトまでに制限されています。有効な JSON 形式の文字列を入力する必要があります。

    この例では、指定したバケット内のユーザ名(キープレフィックス)に一致するフォルダの表示とアクセスのみがグループのメンバーに許可されます。これらのフォルダのプライバシー設定を決めるときは、他のグループポリシーやバケットポリシーのアクセス権限を考慮する必要があります。

    カスタムグループポリシーをテナントグループに追加する

  11. フェデレーテッドグループとローカルグループのどちらを作成するかに応じて、表示されるボタンを選択します。

    • フェデレーテッドグループ: * グループを作成 *

    • ローカルグループ: * 続行 *

    ローカルグループを作成している場合は、「 * Continue * 」を選択すると、ステップ 4 (ユーザーの追加)が表示されます。この手順は、フェデレーテッドグループに対しては表示されません。

  12. グループに追加する各ユーザーのチェックボックスをオンにし、 * グループの作成 * を選択します。

    必要に応じて、ユーザを追加せずにグループを保存することもできます。後でグループにユーザを追加することも、新しいユーザを追加するときにグループを選択することもできます。

  13. [ 完了 ] を選択します。

    作成したグループがグループのリストに表示されます。キャッシングに時間がかかるため変更には最大で 15 分を要します。