Criar ou modificar uma política de servidor de armazenamento de objetos ONTAP S3
Você pode criar políticas que podem ser aplicadas a um ou mais buckets em um armazenamento de objetos. As políticas de servidor de armazenamento de objetos podem ser anexadas a grupos de usuários, simplificando assim o gerenciamento do acesso a recursos em vários buckets.
Um SVM habilitado para S3 que contenha um servidor S3 e um bucket já deve existir.
É possível habilitar políticas de acesso no nível SVM especificando uma política padrão ou personalizada em um grupo de servidores de storage de objetos. As políticas não entram em vigor até que sejam especificadas na definição de grupo.
Quando você usa políticas de servidor de armazenamento de objetos, você especifica princípios (ou seja, usuários e grupos) na definição de grupo, não na própria política. |
Há três políticas padrão somente leitura para acesso aos recursos do ONTAP S3:
-
FullAccess
-
NoS3Access
-
ReadOnlyAccess
Você também pode criar novas políticas personalizadas, adicionar novas instruções para novos usuários e grupos ou modificar os atributos de instruções existentes. Saiba mais sobre o comando link:https://docs.NetApp.com/US-en/ONTAP-cli/index.html[vserver object-store-server policy
em referência de comando ONTAP.
A partir do ONTAP 9.9,1, se você planeja oferecer suporte à funcionalidade de marcação de objetos cliente AWS com o servidor ONTAP S3, as ações GetObjectTagging
PutObjectTagging
e DeleteObjectTagging
precisam ser permitidas usando o bucket ou as políticas de grupo.
O procedimento a seguir depende da interface que você usa—System Manager ou CLI:
Use o System Manager para criar ou modificar uma política de servidor de armazenamento de objetos
-
Edite a VM de armazenamento: Clique em armazenamento > VMs de armazenamento, clique na VM de armazenamento, clique em Configurações e, em seguida, clique em S3.
-
Adicionar um usuário: Clique em políticas e, em seguida, clique em Adicionar.
-
Introduza um nome de política e selecione a partir de uma lista de grupos.
-
Selecione uma política padrão existente ou adicione uma nova.
Ao adicionar ou modificar uma política de grupo, você pode especificar os seguintes parâmetros:
-
Grupo: Os grupos a quem o acesso é concedido.
-
Efeito: Permite ou nega o acesso a um ou mais grupos.
-
Ações: Ações permitidas em um ou mais buckets para um determinado grupo.
-
Recursos: Caminhos e nomes de objetos dentro de um ou mais buckets para os quais o acesso é concedido ou negado. Por exemplo:
-
* Concede acesso a todos os buckets na VM de armazenamento.
-
bucketname e bucketname/* concedem acesso a todos os objetos em um bucket específico.
-
bucketname/readme.txt concede acesso a um objeto em um intervalo específico.
-
-
-
Se desejar, adicione instruções às políticas existentes.
-
Use a CLI para criar ou modificar uma política de servidor de armazenamento de objetos
-
Criar uma política de servidor de armazenamento de objetos:
vserver object-store-server policy create -vserver svm_name -policy policy_name [-comment text]
-
Crie uma declaração para a política:
vserver object-store-server policy statement create -vserver svm_name -policy policy_name -effect {allow|deny} -action object_store_actions -resource object_store_resources [-sid text]
Os seguintes parâmetros definem permissões de acesso:
-effect
A declaração pode permitir ou negar acesso
-action
Você pode especificar
*
para indicar todas as ações ou uma lista de uma ou mais das seguintes opções:GetObject, PutObject, DeleteObject, ListBucket,GetBucketAcl, GetObjectAcl, ListAllMyBuckets, ListBucketMultipartUploads,
EListMultipartUploadParts
.-resource
O balde e qualquer objeto que ele contém. Os carateres curinga
*
e?
podem ser usados para formar uma expressão regular para especificar um recurso.Opcionalmente, você pode especificar uma cadeia de texto como comentário com a
-sid
opção.Por padrão, novas instruções são adicionadas ao final da lista de instruções, que são processadas em ordem. Quando você adiciona ou modifica instruções mais tarde, você tem a opção de modificar a configuração da instrução
-index
para alterar a ordem de processamento.
Saiba mais sobre os comandos descritos neste procedimento no "Referência do comando ONTAP".