Skip to main content
本製品の最新リリースがご利用いただけます。
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

S3 テナント用のグループを作成します

共同作成者
PDF

S3 ユーザグループの権限を管理するには、フェデレーテッドグループをインポートするか、ローカルグループを作成します。

作業を開始する前に

グループ作成ウィザードにアクセスします

最初に、グループ作成ウィザードにアクセスします。

手順

  1. * access management * > * Groups * を選択します。

  2. テナントアカウントに「Use grid federation connection *」権限がある場合は、このグリッドに作成された新しいグループが接続内の他のグリッドの同じテナントにクローニングされることを示す青いバナーが表示されることを確認します。このバナーが表示されない場合は、テナントのデスティネーショングリッドにサインインしている可能性があります。

    テナントソースグリッドの[Groups]ページにある青いバナーの画像

  3. 「 * グループを作成 * 」を選択します。

グループタイプを選択します

ローカルグループを作成するか、フェデレーテッドグループをインポートできます。

手順

  1. [ ローカルグループ *] タブを選択してローカルグループを作成するか、または [ フェデレーショングループ *] タブを選択して、以前に設定したアイデンティティソースからグループをインポートします。

    StorageGRID システムでシングルサインオン( SSO )が有効になっている場合、ローカルグループに属するユーザは Tenant Manager にサインインできません。ただし、クライアントアプリケーションを使用して、グループの権限に基づいてテナントのリソースを管理することはできます。

  2. グループの名前を入力します。

    • * ローカルグループ * :表示名と一意の名前の両方を入力します。表示名はあとで編集できます。

      メモ テナントアカウントで* Use grid federation connection 権限が設定されている場合、デスティネーショングリッドにテナントに同じ unique name *がすでに存在すると、クローニングエラーが発生します。

    • * フェデレーショングループ * :一意の名前を入力します。Active Directoryの場合、に関連付けられている一意の名前です sAMAccountName 属性(Attribute):OpenLDAPの場合は、に関連付けられている一意の名前です uid 属性(Attribute):

  3. 「 * Continue * 」を選択します。

グループの権限を管理します

グループ権限は、ユーザがTenant Managerおよびテナント管理APIで実行できるタスクを制御します。

手順

  1. [アクセスモード]*で、次のいずれかを選択します。

    • * Read-write *(デフォルト):ユーザはTenant Managerにサインインしてテナント設定を管理できます。

    • * 読み取り専用 * :ユーザーは設定と機能のみを表示できます。Tenant Managerまたはテナント管理APIでは、変更を加えたり処理を実行したりすることはできません。ローカルの読み取り専用ユーザは自分のパスワードを変更できます。

      メモ ユーザが複数のグループに属していて、いずれかのグループが読み取り専用に設定されている場合、選択したすべての設定と機能に読み取り専用でアクセスできます。

  2. このグループの権限を1つ以上選択します。

    を参照してください "テナント管理権限"

  3. 「 * Continue * 」を選択します。

S3グループポリシーを設定

グループポリシーによって、ユーザに付与するS3アクセス権限が決まります。

手順

  1. このグループに使用するポリシーを選択します。

    グループポリシー 説明

    S3アクセスがありません

    デフォルト。バケットポリシーでアクセスが許可されていないかぎり、このグループのユーザはS3リソースにアクセスできません。このオプションを選択すると、デフォルトでは root ユーザにのみ S3 リソースへのアクセスが許可されます。

    読み取り専用アクセス

    このグループのユーザには、S3リソースへの読み取り専用アクセスが許可されます。たとえば、オブジェクトをリストして、オブジェクトデータ、メタデータ、タグを読み取ることができます。このオプションを選択すると、テキストボックスに読み取り専用グループポリシーの JSON 文字列が表示されます。この文字列は編集できません。

    フルアクセス

    このグループのユーザには、バケットを含むS3リソースへのフルアクセスが許可されます。このオプションを選択すると、テキストボックスにフルアクセスグループポリシーの JSON 文字列が表示されます。この文字列は編集できません。

    ランサムウェアの軽減

    この例では、このテナントのすべてのバケットを環境 するポリシーを示します。このグループのユーザは共通の操作を実行できますが、オブジェクトのバージョン管理が有効になっているバケットからオブジェクトを完全に削除することはできません。

    このグループポリシーは、* Manage all buckets *権限を持つTenant Managerユーザが上書きできます。[すべてのバケットを管理]権限を信頼できるユーザに制限し、可能な場合は多要素認証(MFA)を使用します。

    カスタム

    グループ内のユーザには、テキストボックスで指定した権限が付与されます。

  2. 「 * Custom * 」を選択した場合は、グループポリシーを入力します。各グループポリシーのサイズは 5 、 120 バイトまでに制限されています。有効な JSON 形式の文字列を入力する必要があります。

    言語の構文や例など、グループポリシーの詳細については、を参照してください "グループポリシーの例"

  3. ローカルグループを作成する場合は、「 * Continue * 」を選択します。フェデレーテッドグループを作成する場合は、 * Create group * および * Finish * を選択します。

ユーザの追加(ローカルグループのみ)

ユーザを追加せずにグループを保存することも、必要に応じて既存のローカルユーザを追加することもできます。

メモ テナントアカウントに* Use grid federation connection *権限がある場合、ソースグリッドでローカルグループを作成するときに選択したユーザは、グループをデスティネーショングリッドにクローニングするときに含まれません。このため、グループを作成するときにユーザーを選択しないでください。代わりに、ユーザの作成時にグループを選択します。
手順

  1. 必要に応じて、このグループに対して 1 人以上のローカルユーザを選択します。

  2. [ グループの作成 *] と [ 完了 *] を選択します。

    作成したグループがグループのリストに表示されます。

    テナントアカウントに* Use grid federation connection 権限があり、テナントのソースグリッドにアクセスしている場合、新しいグループはテナントのデスティネーショングリッドにクローニングされます。 Success は、グループの詳細ページのOverviewセクションに Cloning status *として表示されます。