テナントアカウントを作成する
変更を提案
PDF
StorageGRIDシステム内のストレージへのアクセスを制御するには、少なくとも 1 つのテナント アカウントを作成する必要があります。
テナントアカウントを作成する手順は、"アイデンティティフェデレーション"そして"シングルサインオン"が構成されているかどうか、およびテナント アカウントの作成に使用する Grid Manager アカウントが、ルート アクセス権限を持つ管理者グループに属しているかどうかを確認します。
-
グリッドマネージャにサインインするには、"サポートされているウェブブラウザ" 。
-
テナント アカウントが Grid Manager 用に構成されたアイデンティティ ソースを使用し、テナント アカウントのルート アクセス権限をフェデレーション グループに付与する場合は、そのフェデレーション グループを Grid Manager にインポートしておきます。この管理者グループに Grid Manager 権限を割り当てる必要はありません。見る"管理者グループの管理" 。
-
S3 テナントがグリッド フェデレーション接続を使用してアカウント データを複製し、バケット オブジェクトを別のグリッドに複製できるようにする場合:
-
あなたが持っている"グリッドフェデレーション接続を構成しました"。
-
接続のステータスは*接続済み*です。
-
ルートアクセス権限があります。
-
検討事項を確認しました"グリッドフェデレーションの許可されたテナントの管理"。
-
テナント アカウントが Grid Manager 用に構成された ID ソースを使用する場合は、両方のグリッドの Grid Manager に同じフェデレーション グループをインポートしたことになります。
テナントを作成するときに、ソース テナント アカウントと宛先テナント アカウントの両方に対する初期のルート アクセス権限を付与するこのグループを選択します。
テナントを作成する前にこの管理グループが両方のグリッドに存在しない場合、テナントは宛先に複製されません。 -
ウィザードにアクセスする
-
*TENANTS*を選択します。
-
*作成*を選択します。
詳細を入力してください
-
テナントの詳細を入力します。
フィールド 説明 Name
テナント アカウントの名前。テナント名は一意である必要はありません。テナント アカウントが作成されると、一意の 20 桁のアカウント ID が割り当てられます。
説明(オプション)
テナントを識別するのに役立つ説明。
グリッド フェデレーション接続を使用するテナントを作成する場合は、オプションでこのフィールドを使用して、ソース テナントと宛先テナントを識別します。たとえば、グリッド 1 で作成されたテナントのこの説明は、グリッド 2 に複製されたテナントにも表示されます:「このテナントはグリッド 1 で作成されました。」
クライアントタイプ
このテナントが使用するクライアント プロトコルのタイプ (S3 または Swift)。
注: Swift クライアント アプリケーションのサポートは非推奨となっており、将来のリリースでは削除される予定です。
ストレージクォータ(オプション)
このテナントにストレージ クォータを設定する場合は、クォータの数値と単位を指定します。
-
*続行*を選択します。
権限の選択
-
必要に応じて、このテナントに付与する基本的な権限を選択します。
これらの権限の一部には追加の要件があります。詳細については、各権限のヘルプ アイコンを選択してください。 許可 選択した場合… プラットフォームサービスを許可する
テナントは CloudMirror などの S3 プラットフォーム サービスを使用できます。見る"S3テナントアカウントのプラットフォームサービスを管理する" 。
独自のIDソースを使用する
テナントは、フェデレーション グループおよびユーザーに対して独自の ID ソースを構成および管理できます。このオプションは、"設定されたSSO" StorageGRIDシステム用。
S3 選択を許可する
テナントは、S3 SelectObjectContent API リクエストを発行して、オブジェクト データをフィルタリングおよび取得できます。見る"テナントアカウントのS3 Selectを管理する" 。
重要: SelectObjectContent リクエストにより、すべての S3 クライアントとすべてのテナントのロードバランサーのパフォーマンスが低下する可能性があります。この機能は、必要な場合にのみ、信頼できるテナントに対してのみ有効にしてください。
-
必要に応じて、このテナントに付与する高度な権限を選択します。
許可 選択した場合… グリッドフェデレーション接続
テナントは、次の機能を備えたグリッド フェデレーション接続を使用できます。
-
このテナントと、アカウントに追加されたすべてのテナント グループおよびユーザーが、このグリッド (ソース グリッド) から選択した接続内の他のグリッド (宛先グリッド) に複製されます。
-
このテナントが各グリッド上の対応するバケット間でクロスグリッド レプリケーションを構成できるようにします。
S3 オブジェクトロック
テナントが S3 オブジェクトロックの特定の機能を使用できるようにします。
-
最大保持期間の設定 は、このバケットに追加された新しいオブジェクトが取り込まれた時点から保持される期間を定義します。
-
コンプライアンス モードを許可する により、ユーザーは保持期間中に保護されたオブジェクトのバージョンを上書きまたは削除できなくなります。
-
-
*続行*を選択します。
ルートアクセスを定義してテナントを作成する
-
StorageGRIDシステムが ID フェデレーション、シングル サインオン (SSO)、またはその両方を使用するかどうかに基づいて、テナント アカウントのルート アクセスを定義します。
オプション これをする アイデンティティ連携が有効になっていない場合
ローカル ルート ユーザーとしてテナントにサインインするときに使用するパスワードを指定します。
アイデンティティ連携が有効になっている場合
-
テナントのルート アクセス権限を付与する既存のフェデレーション グループを選択します。
-
必要に応じて、ローカル ルート ユーザーとしてテナントにサインインするときに使用するパスワードを指定します。
ID連携とシングルサインオン(SSO)の両方が有効になっている場合
テナントのルート アクセス権限を付与する既存のフェデレーション グループを選択します。ローカル ユーザーはサインインできません。
-
-
*テナントの作成*を選択します。
成功メッセージが表示され、新しいテナントが [テナント] ページに表示されます。テナントの詳細を表示し、テナントのアクティビティを監視する方法については、以下を参照してください。"テナントのアクティビティを監視する" 。
グリッド全体にテナント設定を適用するには、ネットワーク接続、ノードのステータス、Cassandra の操作によっては 15 分以上かかる場合があります。 -
テナントに対して*グリッド フェデレーション接続を使用する*権限を選択した場合:
-
接続内の他のグリッドに同一のテナントが複製されたことを確認します。両方のグリッドのテナントには、同じ 20 桁のアカウント ID、名前、説明、クォータ、および権限が与えられます。
「クローンなしでテナントが作成されました」というエラーメッセージが表示された場合は、"グリッドフェデレーションエラーのトラブルシューティング" 。 -
ルートアクセスを定義する際にローカルルートユーザーのパスワードを指定した場合、"ローカルルートユーザーのパスワードを変更する"複製されたテナント用。
パスワードが変更されるまで、ローカル ルート ユーザーは、宛先グリッド上の Tenant Manager にサインインできません。
-
テナントにSign in(オプション)
必要に応じて、今すぐ新しいテナントにサインインして構成を完了することも、後でテナントにサインインすることもできます。サインインの手順は、デフォルト ポート (443) を使用して Grid Manager にサインインしているか、制限されたポートを使用してサインインしているかによって異なります。見る"外部ファイアウォールでアクセスを制御する" 。
今すぐSign in
| …を使用している場合 | 操作 |
|---|---|
ポート443でローカルルートユーザーのパスワードを設定する |
|
ポート443で、ローカルルートユーザーのパスワードを設定していない |
*Sign in*を選択し、ルートアクセスフェデレーショングループのユーザーの資格情報を入力します。 |
制限されたポート |
|
後でSign in
| …を使用している場合 | これらのいずれかを行ってください… |
|---|---|
ポート443 |
|
制限されたポート |
|
テナントを構成する
以下の指示に従ってください"テナントアカウントを使用する"テナント グループとユーザー、S3 アクセス キー、バケット、プラットフォーム サービス、アカウント クローン、クロス グリッド レプリケーションを管理します。