Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

テナントアカウントを作成します

共同作成者
PDF

StorageGRID システム内のストレージへのアクセスを制御するために、少なくとも 1 つのテナントアカウントを作成する必要があります。

テナントアカウントを作成する手順は、とが設定されているかどうか、および"シングルサインオン"テナントアカウントの作成に使用するGrid ManagerアカウントがRootアクセス権限を持つ管理者グループに属しているかどうかによって異なります"アイデンティティフェデレーション"

開始する前に

  • Grid Managerにサインインしておきます"サポートされている Web ブラウザ"

  • あなたはを持っています"rootアクセスまたはテナントアカウントの権限"

  • Grid Manager 用に設定されているアイデンティティソースをテナントアカウントで使用し、テナントアカウントにフェデレーテッドグループへの root アクセス権限を付与する場合は、そのフェデレーテッドグループを Grid Manager にインポートしておく必要があります。この管理者グループにGrid Manager権限を割り当てる必要はありません。を参照して "管理者グループを管理する"

  • S3テナントがグリッドフェデレーション接続を使用してアカウントデータをクローニングし、バケットオブジェクトを別のグリッドにレプリケートできるようにする場合は、次の手順を実行します。

    • そうだな "グリッドフェデレーション接続を設定しました"

    • 接続のステータスは*接続済み*です。

    • Root Access 権限が割り当てられている。

    • の考慮事項を確認しておき"グリッドフェデレーションに許可されたテナントの管理"ます。

    • テナントアカウントがGrid Manager用に設定されたアイデンティティソースを使用する場合は、両方のグリッドのGrid Managerに同じフェデレーテッドグループをインポートしておく必要があります。

      テナントを作成するときに、このグループを選択して、ソースとデスティネーションの両方のテナントアカウントに対する初期のRootアクセス権限を割り当てます。

    ヒント テナントを作成する前にこの管理者グループが両方のグリッドに存在していない場合、テナントはデスティネーションにレプリケートされません。

ウィザードにアクセスします

手順

  1. 「 * tenants * 」を選択します

  2. 「 * Create * 」を選択します。

詳細を入力します

手順

  1. テナントの詳細を入力します。

    フィールド 製品説明

    名前

    テナントアカウントの名前。テナント名は一意である必要はありません。作成されたテナントアカウントには、20桁の一意のアカウントIDが割り当てられます。

    概要 (オプション)

    テナントの特定に役立つ概要 。

    グリッドフェデレーション接続を使用するテナントを作成する場合は、必要に応じて、このフィールドを使用してソーステナントとデスティネーションテナントを特定します。たとえば、Grid 1に作成されたテナントの概要 は、Grid 2にレプリケートされたテナントの「This tenant was created on Grid 1」にも表示されます。

    クライアントタイプ

    このテナントで使用するクライアントプロトコルのタイプ(* S3 または Swift *)。

    :Swiftクライアントアプリケーションのサポートは廃止され、今後のリリースで削除される予定です。

    ストレージクォータ(オプション)

    このテナントにストレージクォータを設定する場合は、クォータとユニットの数値。

  2. 「 * Continue * 」を選択します。

権限を選択

手順

  1. 必要に応じて、このテナントに付与する基本的な権限を選択します。

    メモ これらの権限の一部には追加の要件があります。詳細については、各権限のヘルプアイコンを選択してください。
    権限 選択した項目

    プラットフォームサービスを許可します

    テナントでは、CloudMirrorなどのS3プラットフォームサービスを使用できます。を参照して "S3 テナントアカウントのプラットフォームサービスを管理します"

    独自のアイデンティティソースを使用する

    テナントでは、フェデレーテッドグループおよびフェデレーテッドユーザの独自のアイデンティティソースを設定および管理できます。このオプションは、StorageGRIDシステムにがある場合は無効になり"SSOを設定しました"ます。

    S3を許可するを選択します

    テナントは、オブジェクトデータのフィルタリングと読み出しを行うためのS3 SelectObjectContent API要求を問題 できます。を参照して "テナントアカウント用の S3 Select を管理します"

    重要:SelectObjectContent要求を実行すると、すべてのS3クライアントとすべてのテナントのロードバランサのパフォーマンスが低下する可能性があります。この機能は、必要な場合にのみ有効にし、信頼できるテナントに対してのみ有効にします。

  2. 必要に応じて、このテナントに付与する詳細な権限を選択します。

    権限 選択した項目

    グリッドフェデレーション接続

    テナントでは、次のグリッドフェデレーション接続を使用できます。

    • このテナント、およびアカウントに追加されたすべてのテナントグループとユーザが、このグリッド(source grid)から、選択した接続(destination grid)内の他のグリッドにクローニングされます。

    • このテナントで、各グリッド上の対応するバケット間のグリッド間レプリケーションを設定できます。

    を参照して "グリッドフェデレーションに許可されたテナントを管理します"

    S3 オブジェクトのロック

    テナントでS3オブジェクトロックの特定の機能を使用できるようにします。

    • *最大保持期間を設定*このバケットに追加された新しいオブジェクトを、取り込まれた時点から保持する期間を定義します。

    • *コンプライアンスモードを許可*ユーザーが保持期間中に保護オブジェクトバージョンを上書きまたは削除できないようにします。

  3. 「 * Continue * 」を選択します。

ルートアクセスを定義してテナントを作成

手順

  1. StorageGRID システムで使用するアイデンティティフェデレーション、シングルサインオン(SSO)、またはその両方に基づいて、テナントアカウントのルートアクセスを定義します。

    オプション 手順

    アイデンティティフェデレーションが有効になっていない場合

    ローカルrootユーザとしてテナントにサインインするときに使用するパスワードを指定します。

    アイデンティティフェデレーションが有効になっている場合

    1. テナントに対するRoot Access権限を割り当てる既存のフェデレーテッドグループを選択します。

    2. 必要に応じて、ローカルrootユーザとしてテナントにサインインする際に使用するパスワードを指定します。

    アイデンティティフェデレーションとシングルサインオン(SSO)の両方が有効になっている場合

    テナントに対するRoot Access権限を割り当てる既存のフェデレーテッドグループを選択します。ローカルユーザはサインインできません。

  2. [ テナントの作成 ] を選択します。

    成功を示すメッセージが表示され、[Tenants]ページに新しいテナントが表示されます。テナントの詳細を表示してテナントアクティビティを監視する方法については、を参照してください"テナントのアクティビティを監視する"

    メモ テナント設定をグリッド全体に適用する場合、ネットワーク接続、ノードのステータス、およびCassandraの処理によっては、15分以上かかることがあります。

  3. テナントに対して*[Use grid federation connection *]権限を選択した場合は、次の手順を実行します。

    1. 接続内のもう一方のグリッドに同一のテナントがレプリケートされたことを確認します。両方のグリッドのテナントには、同じ20桁のアカウントID、名前、概要 、クォータ、および権限が割り当てられます。

      メモ エラーメッセージ「Tenant created without a clone」が表示される場合は、の手順を参照してください"グリッドフェデレーションエラーをトラブルシューティングする"

    2. rootアクセスを定義するときに、レプリケートされたテナント用にローカルrootユーザのパスワードを指定した場合"ローカルrootユーザのパスワードを変更します"

      ヒント ローカルrootユーザは、パスワードが変更されるまで、デスティネーショングリッドでTenant Managerにサインインできません。

テナントへのサインイン(オプション)

必要に応じて、新しいテナントにサインインして設定を完了するか、あとでテナントにサインインできます。のサインイン手順は、Grid Managerにサインインする際にデフォルトのポート(443)を使用するか制限されたポートを使用するかによって異なります。を参照して "外部ファイアウォールでアクセスを制御します"

今すぐサインインしてください

使用する機能 操作

ポート443にアクセスし、ローカルrootユーザのパスワードを設定します

  1. [ルートとしてサインイン]*を選択します。

    サインインすると、バケット、アイデンティティフェデレーション、グループ、およびユーザを設定するためのリンクが表示されます。

  2. リンクを選択してテナントアカウントを設定します。

    各リンクをクリックすると、 Tenant Manager の対応するページが開きます。このページを完了するには、を参照してください"テナントアカウントを使用するための手順"

ポート443およびローカルrootユーザのパスワードを設定していない

[サインイン]*を選択し、ルートアクセスフェデレーテッドグループのユーザのクレデンシャルを入力します。

制限されたポート

  1. [完了]*を選択します

  2. このテナントアカウントへのアクセスの詳細を確認するには、[Tenant]テーブルで*[Restricted]*を選択します。

    Tenant Manager の URL の形式は次のとおりです。

    https://FQDN_or_Admin_Node_IP:port/?accountId=20-digit-account-id/

    • `FQDN_or_Admin_Node_IP`は、管理ノードの完全修飾ドメイン名またはIPアドレスです。

    • `port`はテナント専用ポートです。

    • `20-digit-account-id`は、テナントの一意のアカウントIDです。

後でサインインします

使用する機能 次のいずれかを実行 …​

ポート443

  • Grid Manager で * tenants * を選択し、テナント名の右側にある * Sign In * を選択します。

  • Web ブラウザにテナントの URL を入力します。

    https://FQDN_or_Admin_Node_IP/?accountId=20-digit-account-id/

    • `FQDN_or_Admin_Node_IP`は、管理ノードの完全修飾ドメイン名またはIPアドレスです。

    • `20-digit-account-id`は、テナントの一意のアカウントIDです。

制限されたポート

  • Grid Manager から * tenants * を選択し、 * Restricted * を選択します。

  • Web ブラウザにテナントの URL を入力します。

    https://FQDN_or_Admin_Node_IP:port/?accountId=20-digit-account-id

    • `FQDN_or_Admin_Node_IP`は、管理ノードの完全修飾ドメイン名またはIPアドレスです。

    • `port`は、テナント専用の制限付きポートです。

    • `20-digit-account-id`は、テナントの一意のアカウントIDです。

テナントを設定します

テナントグループとユーザ、S3アクセスキー、バケット、プラットフォームサービス、アカウントのクローンとクロスグリッドレプリケーションを管理するには、の手順に従います"テナントアカウントを使用する"