S3 テナント用のグループを作成します
S3 ユーザグループの権限を管理するには、フェデレーテッドグループをインポートするか、ローカルグループを作成します。
-
を使用してTenant Managerにサインインしておき"サポートされている Web ブラウザ"ます。
-
が設定されたユーザグループに属している"rootアクセス権限"必要があります。
-
フェデレーテッドグループをインポートする場合は"アイデンティティフェデレーションが設定された"、そのフェデレーテッドグループが設定済みのアイデンティティソースにすでに存在している必要があります。
-
テナントアカウントに* Use grid federation connection *権限が割り当てられている場合は、のワークフローと考慮事項を確認し"テナントグループおよびテナントユーザのクローニング"、テナントのソースグリッドにサインインしておきます。
グループ作成ウィザードにアクセスします
最初に、グループ作成ウィザードにアクセスします。
-
* access management * > * Groups * を選択します。
-
テナントアカウントに「Use grid federation connection *」権限がある場合は、このグリッドに作成された新しいグループが接続内の他のグリッドの同じテナントにクローニングされることを示す青いバナーが表示されることを確認します。このバナーが表示されない場合は、テナントのデスティネーショングリッドにサインインしている可能性があります。
-
「 * グループを作成 * 」を選択します。
グループタイプを選択します
ローカルグループを作成するか、フェデレーテッドグループをインポートできます。
-
[ ローカルグループ *] タブを選択してローカルグループを作成するか、または [ フェデレーショングループ *] タブを選択して、以前に設定したアイデンティティソースからグループをインポートします。
StorageGRID システムでシングルサインオン( SSO )が有効になっている場合、ローカルグループに属するユーザは Tenant Manager にサインインできません。ただし、クライアントアプリケーションを使用して、グループの権限に基づいてテナントのリソースを管理することはできます。
-
グループの名前を入力します。
-
* ローカルグループ * :表示名と一意の名前の両方を入力します。表示名はあとで編集できます。
テナントアカウントで* Use grid federation connection 権限が設定されている場合、デスティネーショングリッドにテナントに同じ unique name *がすでに存在すると、クローニングエラーが発生します。 -
* フェデレーショングループ * :一意の名前を入力します。Active Directoryの場合、一意の名前は属性に関連付けられた名前です
sAMAccountName
。OpenLDAPの場合、一意の名前は属性に関連付けられた名前ですuid
。
-
-
「 * Continue * 」を選択します。
グループの権限を管理します
グループ権限は、ユーザがTenant Managerおよびテナント管理APIで実行できるタスクを制御します。
-
[アクセスモード]*で、次のいずれかを選択します。
-
* Read-write *(デフォルト):ユーザはTenant Managerにサインインしてテナント設定を管理できます。
-
* 読み取り専用 * :ユーザーは設定と機能のみを表示できます。Tenant Managerまたはテナント管理APIでは、変更を加えたり処理を実行したりすることはできません。ローカルの読み取り専用ユーザは自分のパスワードを変更できます。
ユーザが複数のグループに属していて、いずれかのグループが読み取り専用に設定されている場合、選択したすべての設定と機能に読み取り専用でアクセスできます。
-
-
このグループの権限を1つ以上選択します。
を参照して "テナント管理権限"
-
「 * Continue * 」を選択します。
S3グループポリシーを設定
グループポリシーによって、ユーザに付与するS3アクセス権限が決まります。
-
このグループに使用するポリシーを選択します。
グループポリシー 製品説明 S3アクセスがありません
デフォルト。バケットポリシーでアクセスが許可されていないかぎり、このグループのユーザはS3リソースにアクセスできません。このオプションを選択すると、デフォルトでは root ユーザにのみ S3 リソースへのアクセスが許可されます。
読み取り専用アクセス
このグループのユーザには、S3リソースへの読み取り専用アクセスが許可されます。たとえば、オブジェクトをリストして、オブジェクトデータ、メタデータ、タグを読み取ることができます。このオプションを選択すると、テキストボックスに読み取り専用グループポリシーの JSON 文字列が表示されます。この文字列は編集できません。
フルアクセス
このグループのユーザには、バケットを含むS3リソースへのフルアクセスが許可されます。このオプションを選択すると、テキストボックスにフルアクセスグループポリシーの JSON 文字列が表示されます。この文字列は編集できません。
ランサムウェアの軽減
この例では、このテナントのすべてのバケットを環境するポリシーを示します。このグループのユーザは共通の操作を実行できますが、オブジェクトのバージョン管理が有効になっているバケットからオブジェクトを完全に削除することはできません。
このグループポリシーは、* Manage all buckets *権限を持つTenant Managerユーザが上書きできます。[すべてのバケットを管理]権限を信頼できるユーザに制限し、可能な場合は多要素認証(MFA)を使用します。
カスタム
グループ内のユーザには、テキストボックスで指定した権限が付与されます。
-
「 * Custom * 」を選択した場合は、グループポリシーを入力します。各グループポリシーのサイズは 5 、 120 バイトまでに制限されています。有効な JSON 形式の文字列を入力する必要があります。
言語の構文や例など、グループポリシーの詳細については、を参照してください"グループポリシーの例"。
-
ローカルグループを作成する場合は、「 * Continue * 」を選択します。フェデレーテッドグループを作成する場合は、 * Create group * および * Finish * を選択します。
ユーザの追加(ローカルグループのみ)
ユーザを追加せずにグループを保存することも、必要に応じて既存のローカルユーザを追加することもできます。
テナントアカウントに* Use grid federation connection *権限がある場合、ソースグリッドでローカルグループを作成するときに選択したユーザは、グループをデスティネーショングリッドにクローニングするときに含まれません。このため、グループを作成するときにユーザーを選択しないでください。代わりに、ユーザの作成時にグループを選択します。 |
-
必要に応じて、このグループに対して 1 人以上のローカルユーザを選択します。
-
[ グループの作成 *] と [ 完了 *] を選択します。
作成したグループがグループのリストに表示されます。
テナントアカウントに* Use grid federation connection 権限があり、テナントのソースグリッドにアクセスしている場合、新しいグループはテナントのデスティネーショングリッドにクローニングされます。 Success は、グループの詳細ページのOverviewセクションに Cloning status *として表示されます。