Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

アカウントクローンとは何ですか?

PDF

アカウントクローンとは、テナントアカウント、テナントグループ、テナントユーザー、およびオプションでS3アクセスキーをStorageGRIDシステム間で自動的に複製することです。"グリッドフェデレーション接続"

アカウントのクローンが必要です"クロスグリッドレプリケーション"。ソースStorageGRIDシステムから宛先StorageGRIDシステムにアカウント情報を複製すると、テナント ユーザーとグループはどちらのグリッド上の対応するバケットとオブジェクトにもアクセスできるようになります。

アカウントクローンのワークフロー

ワークフロー図は、グリッド管理者と許可されたテナントがアカウントクローンを設定するために実行する手順を示しています。これらの手順は、"グリッドフェデレーション接続が構成されている"

アカウントクローンのワークフロー

グリッド管理ワークフロー

グリッド管理者が実行する手順は、グリッド内のStorageGRIDシステムが"グリッドフェデレーション接続"シングル サインオン (SSO) または ID フェデレーションを使用します。

アカウントクローンのSSOを設定する(オプション)

グリッド フェデレーション接続内のいずれかのStorageGRIDシステムが SSO を使用する場合は、両方のグリッドで SSO を使用する必要があります。グリッド フェデレーション用のテナント アカウントを作成する前に、テナントのソース グリッドと宛先グリッドのグリッド管理者は次の手順を実行する必要があります。

手順

  1. 両方のグリッドに同じ ID ソースを構成します。見る"アイデンティティフェデレーションを使用する"

  2. 両方のグリッドに同じ SSO ID プロバイダー (IdP) を構成します。見る"シングルサインオンを構成する"

  3. "同じ管理者グループを作成する"同じフェデレーション グループをインポートすることで、両方のグリッドで実行できます。

    テナントを作成するときに、ソース テナント アカウントと宛先テナント アカウントの両方に対する初期のルート アクセス権限を付与するこのグループを選択します。

    メモ テナントを作成する前にこの管理グループが両方のグリッドに存在しない場合、テナントは宛先に複製されません。

アカウントクローンのグリッドレベルのアイデンティティフェデレーションを構成する(オプション)

いずれかのStorageGRIDシステムが SSO なしで ID フェデレーションを使用する場合、両方のグリッドで ID フェデレーションを使用する必要があります。グリッド フェデレーション用のテナント アカウントを作成する前に、テナントのソース グリッドと宛先グリッドのグリッド管理者は次の手順を実行する必要があります。

手順

  1. 両方のグリッドに同じ ID ソースを構成します。見る"アイデンティティフェデレーションを使用する"

  2. オプションとして、フェデレーショングループがソーステナントアカウントと宛先テナントアカウントの両方に対して初期ルートアクセス権限を持つ場合、"同じ管理者グループを作成する"同じフェデレーション グループをインポートすることで、両方のグリッドで実行できます。

    メモ 両方のグリッドに存在しないフェデレーション グループにルート アクセス権限を割り当てると、テナントは宛先グリッドに複製されません。

  3. フェデレーション グループに両方のアカウントに対する初期のルート アクセス権限を付与したくない場合は、ローカル ルート ユーザーのパスワードを指定します。

許可されたS3テナントアカウントを作成する

オプションで SSO または ID フェデレーションを構成した後、グリッド管理者は次の手順を実行して、どのテナントがバケット オブジェクトを他のStorageGRIDシステムに複製できるかを決定します。

手順

  1. アカウント クローン操作のテナントのソース グリッドとするグリッドを決定します。

    テナントが最初に作成されたグリッドは、テナントの ソース グリッド と呼ばれます。テナントが複製されるグリッドは、テナントの 宛先グリッド と呼ばれます。

  2. そのグリッドで、新しい S3 テナント アカウントを作成するか、既存のアカウントを編集します。

  3. グリッド フェデレーション接続を使用する 権限を割り当てます。

  4. テナント アカウントが独自のフェデレーション ユーザーを管理する場合は、独自の ID ソースを使用する 権限を割り当てます。

    この権限が割り当てられている場合、フェデレーション グループを作成する前に、ソース テナント アカウントと宛先テナント アカウントの両方で同じ ID ソースを構成する必要があります。両方のグリッドが同じ ID ソースを使用しない限り、ソース テナントに追加されたフェデレーション グループは、宛先テナントに複製できません。

  5. 特定のグリッド フェデレーション接続を選択します。

  6. 新しいテナントまたは変更されたテナントを保存します。

    グリッド フェデレーション接続の使用 権限を持つ新しいテナントが保存されると、 StorageGRID は次のように他のグリッドにそのテナントのレプリカを自動的に作成します。

    • 両方のテナント アカウントには、同じアカウント ID、名前、ストレージ クォータ、割り当てられた権限があります。

    • テナントのルート アクセス権限を持つフェデレーション グループを選択した場合、そのグループは宛先テナントに複製されます。

    • テナントのルート アクセス権限を持つローカル ユーザーを選択した場合、そのユーザーは宛先テナントに複製されます。ただし、そのユーザーのパスワードは複製されません。

詳細については、 "グリッドフェデレーションの許可されたテナントを管理する"

許可されたテナントアカウントワークフロー

グリッド フェデレーション接続の使用 権限を持つテナントが宛先グリッドに複製された後、許可されたテナント アカウントはこれらの手順を実行して、テナント グループ、ユーザー、および S3 アクセス キーを複製できます。

手順

  1. テナントのソース グリッド上のテナント アカウントにSign in。

  2. 許可されている場合は、ソース テナント アカウントと宛先テナント アカウントの両方で ID フェデレーションを構成します。

  3. ソーステナントにグループとユーザーを作成します。

    ソース テナントに新しいグループまたはユーザーが作成されると、 StorageGRID はそれらを宛先テナントに自動的に複製しますが、宛先からソースへの複製は行われません。

  4. S3 アクセスキーを作成します。

  5. 必要に応じて、ソーステナントから宛先テナントに S3 アクセスキーを複製します。

許可されたテナントアカウントのワークフローの詳細と、グループ、ユーザー、S3アクセスキーのクローン作成方法については、以下を参照してください。"テナントグループとユーザーの複製"そして"API を使用して S3 アクセスキーを複製する"