Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

LDAP 또는 도메인 사용자가 자신의 ONTAP S3 액세스 키를 생성할 수 있습니다

기여자

ONTAP 9.14.1부터 ONTAP 관리자는 사용자 지정 역할을 만들고 로컬 또는 도메인 그룹이나 LDAP(Lightweight Directory Access Protocol) 그룹에 부여하여 해당 그룹에 속한 사용자가 S3 클라이언트 액세스에 대한 자체 액세스 및 비밀 키를 생성할 수 있습니다.

스토리지 VM에서 몇 가지 구성 단계를 수행해야 사용자 지정 역할을 생성하고 액세스 키 생성을 위해 API를 호출하는 사용자에게 할당할 수 있습니다.

시작하기 전에

다음을 확인합니다.

  1. S3 서버가 포함된 S3 사용 스토리지 VM이 생성되었습니다. 을 참조하십시오 "S3를 위해 SVM을 생성합니다".

  2. 해당 스토리지 VM에 버킷이 생성되었습니다. 을 참조하십시오 "버킷을 만듭니다".

  3. 스토리지 VM에 DNS가 구성되어 있다. 을 참조하십시오 "DNS 서비스를 구성합니다".

  4. LDAP 서버의 자체 서명된 루트 CA(인증 기관) 인증서가 스토리지 VM에 설치되어 있습니다. 을 참조하십시오 "SVM에 자체 서명된 루트 CA 인증서를 설치합니다".

  5. LDAP 클라이언트는 스토리지 VM에서 TLS를 사용하도록 구성했습니다. 을 "LDAP 클라이언트 구성을 생성합니다"참조하십시오.

  6. 클라이언트 구성을 SVM에 연결합니다. 을 "LDAP 클라이언트 구성을 SVM과 연결합니다"참조하십시오. ONTAP 명령 참조에서 https://docs .NetApp.com/us-en/ONTAP-cli//vserver-services-name-service-ldap-create.html 명령 링크에 대해 자세히[vserver services name-service ldap create 알아보십시오.

  7. 데이터 스토리지 VM을 사용하는 경우 관리 네트워크 인터페이스(LIF) 및 VM에 그리고 LIF에 대한 서비스 정책을 생성합니다. ONTAP 명령 참조에서 [ ] 및[network interface service-policy create [ ] 명령에 대해[network interface create 자세히 알아봅니다.

액세스 키 생성을 위한 사용자를 구성합니다

  1. LDAP를 스토리지 VM의 _NAME 서비스 데이터베이스_로 지정하고 LDAP에 대한 암호를 지정합니다.

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
    ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    ONTAP 명령 참조에서 https://docs .NetApp.com/us-en/ONTAP-cli/vserver-services-name-service-ns-switch-modify.html 명령 링크에 대해 자세히[vserver services name-service ns-switch modify 알아보십시오.

  2. S3 사용자 REST API 끝점에 액세스하여 사용자 지정 역할 생성:
    security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type>
    이 예에서 는 입니다 s3-role 스토리지 VM의 사용자에 대해 역할이 생성됩니다 svm-1, 모든 액세스 권한, 읽기, 만들기 및 업데이트가 부여되는 대상.

    security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all

    ONTAP 명령 참조에서 https://docs .NetApp.com/us-en/ONTAP-cli/security-login-rest-role-create.html 명령 링크에 대해 자세히[security login rest-role create 알아보십시오.

  3. security login 명령으로 LDAP 사용자 그룹을 생성하고 S3 사용자 REST API 끝점에 액세스하기 위한 새 사용자 지정 역할을 추가합니다. ONTAP 명령 참조에서 https://docs .NetApp.com/us-en/ONTAP-cli//security-login-create.html 명령 링크에 대해 자세히[security login create 알아보십시오.

    security login create -user-or-group-name <ldap-group-name> -application http -authentication-method nsswitch -role <custom-role-name> -is-ns-switch-group yes

    이 예에서는 LDAP 그룹입니다 ldap-group-1 이(가) 에 생성됩니다 svm-1`및 사용자 지정 역할 `s3role API 끝점에 액세스할 수 있도록 이 API에 추가되고, 빠른 바인드 모드에서 LDAP 액세스가 활성화됩니다.

    security login create -user-or-group-name ldap-group-1 -application http -authentication-method nsswitch -role s3role -is-ns-switch-group yes -second-authentication-method none -vserver svm-1 -is-ldap-fastbind yes

    자세한 내용은 을 참조하십시오 "nsswitch 인증에 LDAP 고속 바인딩을 사용합니다".

도메인 또는 LDAP 그룹에 사용자 지정 역할을 추가하면 해당 그룹의 사용자가 ONTAP에 대한 제한된 액세스를 허용할 수 있습니다 /api/protocols/s3/services/{svm.uuid}/users 엔드포인트. 도메인 또는 LDAP 그룹 사용자는 API를 호출하여 자신의 액세스 및 비밀 키를 생성하여 S3 클라이언트에 액세스할 수 있습니다. 사용자는 자신의 키를 생성할 수 있고 다른 사용자는 생성할 수 없습니다.

S3 또는 LDAP 사용자로 자체 액세스 키를 생성합니다

ONTAP 9.14.1부터 관리자가 사용자 고유의 키를 생성하는 역할을 부여한 경우, S3 클라이언트에 액세스하기 위한 고유한 액세스 및 비밀 키를 생성할 수 있습니다. 다음 ONTAP REST API 끝점을 사용하여 자신에 대해서만 키를 생성할 수 있습니다.

HTTP 메서드 및 끝점입니다

이 REST API 호출은 다음과 같은 메소드와 엔드포인트를 사용합니다. 이 끝점의 다른 메서드에 대한 자세한 내용은 참조를 참조하십시오 "API 설명서".

HTTP 메소드 경로

게시

/api/protocols/s3/services/{svm.uuid}/사용자

컬의 예
curl
--request POST \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users " \
--include \
--header "Accept: */*" \
--header "Authorization: Basic $BASIC_AUTH"
--data '{"name":"_name_"}'
JSON 출력 예
{
  "records": [
    {
      "access_key": "Pz3SB54G2B_6dsXQPrA5HrTPcf478qoAW6_Xx6qyqZ948AgZ_7YfCf_9nO87YoZmskxx3cq41U2JAH2M3_fs321B4rkzS3a_oC5_8u7D8j_45N8OsBCBPWGD_1d_ccfq",
      "_links": {
        "next": {
          "href": "/api/resourcelink"
        },
        "self": {
          "href": "/api/resourcelink"
        }
      },
      "name": "user-1",
      "secret_key": "A20_tDhC_cux2C2BmtL45bXB_a_Q65c_96FsAcOdo14Az8V31jBKDTc0uCL62Bh559gPB8s9rrn0868QrF38_1dsV2u1_9H2tSf3qQ5xp9NT259C6z_GiZQ883Qn63X1"
    }
  ],
  "num_records": "1"
}