LDAP 또는 도메인 사용자가 자신의 ONTAP S3 액세스 키를 생성할 수 있습니다
변경 제안
PDF
ONTAP 9.14.1부터 ONTAP 관리자는 사용자 지정 역할을 만들고 로컬 또는 도메인 그룹이나 LDAP(Lightweight Directory Access Protocol) 그룹에 부여하여 해당 그룹에 속한 사용자가 S3 클라이언트 액세스에 대한 자체 액세스 및 비밀 키를 생성할 수 있습니다.
액세스 키 생성을 위해 API를 호출하는 사용자에게 사용자 지정 역할을 생성하고 할당할 수 있도록 스토리지 VM에서 몇 가지 구성 단계를 수행해야 합니다.
|
LDAP가 비활성화된 경우 다음을 수행할 수 있습니다. "ONTAP S3 액세스를 위한 외부 디렉토리 서비스 구성" 사용자가 액세스 키를 생성할 수 있도록 합니다. |
다음을 확인합니다.
-
S3 서버가 포함된 S3 사용 스토리지 VM이 생성되었습니다. 을 참조하십시오 "S3를 위해 SVM을 생성합니다".
-
해당 스토리지 VM에 버킷이 생성되었습니다. 을 참조하십시오 "버킷을 만듭니다".
-
스토리지 VM에 DNS가 구성되어 있다. 을 "DNS 서비스를 구성합니다"참조하십시오.
-
LDAP 서버의 자체 서명된 루트 CA(인증 기관) 인증서가 스토리지 VM에 설치되어 있습니다. 을 "SVM에 자체 서명된 루트 CA 인증서 설치"참조하십시오.
-
LDAP 클라이언트는 스토리지 VM에서 TLS를 사용하도록 구성했습니다. 을 "ONTAP NFS 액세스를 위한 LDAP 클라이언트 구성 생성"참조하십시오.
-
클라이언트 구성을 SVM에 연결합니다. 을 "ONTAP NFS SVM과 LDAP 클라이언트 구성 연결"참조하십시오. 에 대한 자세한 내용은
vserver services name-service ldap create"ONTAP 명령 참조입니다"을 참조하십시오. -
데이터 스토리지 VM을 사용하는 경우 관리 네트워크 인터페이스(LIF) 및 VM에 그리고 LIF에 대한 서비스 정책을 생성합니다. 및
network interface service-policy create에 대한 자세한network interface create내용은 을 "ONTAP 명령 참조입니다"참조하십시오.
액세스 키 생성을 위한 사용자를 구성합니다
-
LDAP를 스토리지 VM의 _NAME 서비스 데이터베이스_로 지정하고 LDAP에 대한 암호를 지정합니다.
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap에 대한 자세한 내용은
vserver services name-service ns-switch modify"ONTAP 명령 참조입니다"을 참조하십시오. -
S3 사용자 REST API 끝점에 액세스하여 사용자 지정 역할 생성:
security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type>
이 예에서 는 입니다s3-role스토리지 VM의 사용자에 대해 역할이 생성됩니다svm-1, 모든 액세스 권한, 읽기, 만들기 및 업데이트가 부여되는 대상.security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all
에 대한 자세한 내용은
security login rest-role create"ONTAP 명령 참조입니다"을 참조하십시오. -
LDAP 사용자 그룹을 만듭니다.
security login명령을 실행하고 S3 사용자 REST API 엔드포인트에 액세스하기 위한 새로운 사용자 지정 역할을 추가합니다. 자세히 알아보세요security login create에서 "ONTAP 명령 참조입니다" .security login create -user-or-group-name <ldap-group-name> -application http -authentication-method nsswitch -role <custom-role-name> -is-ns-switch-group yes이 예에서는 LDAP 그룹입니다
ldap-group-1이(가) 에 생성됩니다svm-1`및 사용자 지정 역할 `s3roleAPI 끝점에 액세스할 수 있도록 이 API에 추가되고, 빠른 바인드 모드에서 LDAP 액세스가 활성화됩니다.security login create -user-or-group-name ldap-group-1 -application http -authentication-method nsswitch -role s3role -is-ns-switch-group yes -second-authentication-method none -vserver svm-1 -is-ldap-fastbind yes
자세한 내용은 을 "ONTAP NFS SVM에 대한 nsswitch 인증을 위해 LDAP 빠른 바인딩을 사용합니다."참조하십시오.
에 대한 자세한 내용은
security login create"ONTAP 명령 참조입니다"을 참조하십시오.
LDAP 그룹에 사용자 정의 역할을 추가하면 해당 그룹의 사용자는 ONTAP 에 제한된 액세스 권한을 가질 수 있습니다. /api/protocols/s3/services/{svm.uuid}/users 엔드포인트. API를 호출하면 LDAP 그룹 사용자는 S3 클라이언트에 액세스하기 위한 액세스 키와 비밀 키를 직접 생성할 수 있습니다. 키는 본인만 생성할 수 있으며 다른 사용자는 생성할 수 없습니다.
-
S3 사용자 REST API 엔드포인트에 액세스할 수 있는 사용자 지정 역할을 만듭니다.
security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type>이 예에서는 s3-role 스토리지 VM의 사용자에 대한 역할이 생성됩니다. svm-1 모든 접근 권한(읽기, 만들기, 업데이트)이 부여됩니다.
security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all
에 대한 자세한 내용은 security login rest-role create "ONTAP 명령 참조입니다"을 참조하십시오.
-
도메인 사용자 그룹을 만듭니다.
security login명령을 실행하고 S3 사용자 REST API 엔드포인트에 액세스하기 위한 새로운 사용자 지정 역할을 추가합니다. 자세히 알아보세요security login create에서 "ONTAP 명령 참조입니다" .security login create -vserver <vserver-name> -user-or-group-name domain\<group-name> -application http -authentication-method domain -role <custom-role-name>이 예에서 도메인 그룹은
domain\group1에서 생성됩니다svm-1, 그리고 사용자 정의 역할s3roleAPI 엔드포인트에 액세스하기 위해 추가되었습니다.security login create -user-or-group-name domain\group1 -application http -authentication-method domain -role s3role -vserver svm-1
에 대한 자세한 내용은
security login create"ONTAP 명령 참조입니다"을 참조하십시오.
도메인 그룹에 사용자 정의 역할을 추가하면 해당 그룹의 사용자가 ONTAP 에 제한적으로 액세스할 수 있습니다. /api/protocols/s3/services/{svm.uuid}/users 엔드포인트. API를 호출하면 도메인 그룹 사용자는 S3 클라이언트에 액세스하기 위한 액세스 키와 비밀 키를 직접 생성할 수 있습니다. 해당 키는 본인만 생성할 수 있으며 다른 사용자는 생성할 수 없습니다.
S3 또는 LDAP 사용자로 자체 액세스 키를 생성합니다
ONTAP 9.14.1부터 관리자가 사용자 고유의 키를 생성하는 역할을 부여한 경우, S3 클라이언트에 액세스하기 위한 고유한 액세스 및 비밀 키를 생성할 수 있습니다. 다음 ONTAP REST API 끝점을 사용하여 자신에 대해서만 키를 생성할 수 있습니다.
이 REST API 호출은 다음 메서드와 엔드포인트를 사용합니다. 이 엔드포인트에 대한 자세한 내용은 참조를 참조하세요. "API 설명서" .
| HTTP 메소드 | 경로 |
|---|---|
게시 |
/api/protocols/s3/services/{svm.uuid}/사용자 |
도메인 사용자의 경우 S3 사용자 이름에 다음 형식을 사용하세요. user@fqdn , 어디 fqdn 도메인의 정규화된 도메인 이름입니다.
curl
--request POST \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users " \
--include \
--header "Accept: */*" \
--header "Authorization: Basic $BASIC_AUTH"
--data '{"name":"user1@example.com"}'{
"records": [
{
"access_key": "4KX07KF7ML8YNWY01JWG",
"_links": {
"next": {
"href": "/api/resourcelink"
},
"self": {
"href": "/api/resourcelink"
}
},
"name": "user1@example.com",
"secret_key": "<secret_key_value>"
}
],
"num_records": "1"
}
S3 사용자가 이미 있는 경우 해당 사용자의 액세스 키와 비밀 키를 다시 생성할 수 있습니다. 이 REST API 호출은 다음 메서드와 엔드포인트를 사용합니다.
| HTTP 메소드 | 경로 |
|---|---|
반점 |
/api/프로토콜/s3/서비스/{svm.uuid}/사용자/{이름} |
curl
--request PATCH \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users/{name} " \
--include \
--header "Authorization: Basic $BASIC_AUTH" \
--data '{"regenerate_keys":"True"}'{
"records": [
{
"access_key": "DX12U609DMRVD8U30Z1M",
"_links": {
"self": {
"href": "/api/resourcelink"
}
},
"name": "user1@example.com",
"secret_key": "<secret_key_value>"
}
],
"num_records": "1"
}