Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Habilite os usuários LDAP ou de domínio para gerar suas próprias chaves de acesso ONTAP S3

Colaboradores

A partir do ONTAP 9.14,1, como administrador do ONTAP, você pode criar funções personalizadas e concedê-las a grupos locais ou de domínio ou a grupos LDAP (Lightweight Directory Access Protocol), de modo que os usuários pertencentes a esses grupos possam gerar seu próprio acesso e chaves secretas para acesso ao cliente S3.

Você precisa executar algumas etapas de configuração em sua VM de armazenamento, para que a função personalizada possa ser criada e atribuída ao usuário que invoca a API para geração de chaves de acesso.

Antes de começar

Certifique-se de que:

  1. Uma VM de armazenamento habilitada para S3 contendo um servidor S3 foi criada. "Criar um SVM para S3"Consulte .

  2. Um bucket foi criado nessa VM de storage. "Crie um bucket"Consulte .

  3. O DNS está configurado na VM de armazenamento. "Configurar serviços DNS"Consulte .

  4. Um certificado de autoridade de certificação raiz (CA) autoassinado do servidor LDAP é instalado na VM de armazenamento. "Instale o certificado de CA raiz autoassinado no SVM"Consulte .

  5. Um cliente LDAP é configurado com TLS ativado na VM de armazenamento. "Crie uma configuração de cliente LDAP"Consulte .

  6. Associe a configuração do cliente ao SVM. "Associe a configuração do cliente LDAP a SVMs"Consulte . Saiba mais sobre o comando link:https://docs.NetApp.com/US-en/ONTAP-cli//vserver-services-name-service-ldap-create.html[`vserver services name-service ldap create`em referência de comando ONTAP.

  7. Se você estiver usando uma VM de armazenamento de dados, crie uma interface de rede de gerenciamento (LIF) e na VM e também uma política de serviço para o LIF. Saiba mais sobre os[network interface create[network interface service-policy create comandos em ONTAP.

Configurar usuários para geração de chaves de acesso

  1. Especifique LDAP como o banco de dados name Service da VM de armazenamento para o grupo e a senha para LDAP:

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
    ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    Saiba mais sobre o comando link:https://docs.NetApp.com/US-en/ONTAP-cli/vserver-services-name-service-ns-switch-modify.html[vserver services name-service ns-switch modify em referência de comando ONTAP.

  2. Criar uma função personalizada com acesso ao endpoint da API REST do usuário S3:
    security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type> Neste exemplo, a s3-role função é gerada para usuários na VM de armazenamento svm-1 , à qual todos os direitos de acesso, leitura, criação e atualização são concedidos.

    security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all

    Saiba mais sobre o comando link:https://docs.NetApp.com/US-en/ONTAP-cli/security-login-rest-role-create.html[security login rest-role create em referência de comando ONTAP.

  3. Crie um grupo de usuários LDAP com o comando de login de segurança e adicione a nova função personalizada para acessar o endpoint da API REST do usuário S3. Saiba mais sobre o comando link:https://docs.NetApp.com/US-en/ONTAP-cli//security-login-create.html[`security login create`em referência de comando ONTAP.

    security login create -user-or-group-name <ldap-group-name> -application http -authentication-method nsswitch -role <custom-role-name> -is-ns-switch-group yes

    Neste exemplo, o grupo LDAP ldap-group-1 é criado no svm-1, e a função personalizada s3role é adicionada a ele para acessar o endpoint da API, juntamente com a habilitação do acesso LDAP no modo de vinculação rápida.

    security login create -user-or-group-name ldap-group-1 -application http -authentication-method nsswitch -role s3role -is-ns-switch-group yes -second-authentication-method none -vserver svm-1 -is-ldap-fastbind yes

    Para obter mais informações, "Use LDAP fast bind para autenticação nsswitch"consulte .

A adição da função personalizada ao domínio ou grupo LDAP permite aos usuários desse grupo um acesso limitado ao endpoint do ONTAP /api/protocols/s3/services/{svm.uuid}/users. Ao invocar a API, os usuários do domínio ou grupo LDAP podem gerar seu próprio acesso e chaves secretas para acessar o cliente S3. Eles podem gerar as chaves apenas para si mesmos e não para outros usuários.

Como um usuário S3 ou LDAP, gere suas próprias chaves de acesso

A partir do ONTAP 9.14,1, você pode gerar seu próprio acesso e chaves secretas para acessar clientes S3, se o administrador lhe concedeu a função de gerar suas próprias chaves. Você pode gerar chaves somente para si mesmo usando o seguinte endpoint da API REST do ONTAP.

Método HTTP e endpoint

Essa chamada de API REST usa o método e o endpoint a seguir. Para obter informações sobre os outros métodos deste endpoint, consulte a "Documentação do API" referência .

Método HTTP Caminho

POST

/api/protocols/s3/services/(svm.uuid)/users

Curl exemplo
curl
--request POST \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users " \
--include \
--header "Accept: */*" \
--header "Authorization: Basic $BASIC_AUTH"
--data '{"name":"_name_"}'
Exemplo de saída JSON
{
  "records": [
    {
      "access_key": "Pz3SB54G2B_6dsXQPrA5HrTPcf478qoAW6_Xx6qyqZ948AgZ_7YfCf_9nO87YoZmskxx3cq41U2JAH2M3_fs321B4rkzS3a_oC5_8u7D8j_45N8OsBCBPWGD_1d_ccfq",
      "_links": {
        "next": {
          "href": "/api/resourcelink"
        },
        "self": {
          "href": "/api/resourcelink"
        }
      },
      "name": "user-1",
      "secret_key": "A20_tDhC_cux2C2BmtL45bXB_a_Q65c_96FsAcOdo14Az8V31jBKDTc0uCL62Bh559gPB8s9rrn0868QrF38_1dsV2u1_9H2tSf3qQ5xp9NT259C6z_GiZQ883Qn63X1"
    }
  ],
  "num_records": "1"
}