Habilite os usuários LDAP ou de domínio para gerar suas próprias chaves de acesso ONTAP S3
A partir do ONTAP 9.14,1, como administrador do ONTAP, você pode criar funções personalizadas e concedê-las a grupos locais ou de domínio ou a grupos LDAP (Lightweight Directory Access Protocol), de modo que os usuários pertencentes a esses grupos possam gerar seu próprio acesso e chaves secretas para acesso ao cliente S3.
Você precisa executar algumas etapas de configuração em sua VM de armazenamento, para que a função personalizada possa ser criada e atribuída ao usuário que invoca a API para geração de chaves de acesso.
Certifique-se de que:
-
Uma VM de armazenamento habilitada para S3 contendo um servidor S3 foi criada. "Criar um SVM para S3"Consulte .
-
Um bucket foi criado nessa VM de storage. "Crie um bucket"Consulte .
-
O DNS está configurado na VM de armazenamento. "Configurar serviços DNS"Consulte .
-
Um certificado de autoridade de certificação raiz (CA) autoassinado do servidor LDAP é instalado na VM de armazenamento. "Instale o certificado de CA raiz autoassinado no SVM"Consulte .
-
Um cliente LDAP é configurado com TLS ativado na VM de armazenamento. "Crie uma configuração de cliente LDAP"Consulte .
-
Associe a configuração do cliente ao SVM. "Associe a configuração do cliente LDAP a SVMs"Consulte . Saiba mais sobre o comando link:https://docs.NetApp.com/US-en/ONTAP-cli//vserver-services-name-service-ldap-create.html[`vserver services name-service ldap create`em referência de comando ONTAP.
-
Se você estiver usando uma VM de armazenamento de dados, crie uma interface de rede de gerenciamento (LIF) e na VM e também uma política de serviço para o LIF. Saiba mais sobre os[
network interface create
[network interface service-policy create
comandos em ONTAP.
Configurar usuários para geração de chaves de acesso
-
Especifique LDAP como o banco de dados name Service da VM de armazenamento para o grupo e a senha para LDAP:
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
Saiba mais sobre o comando link:https://docs.NetApp.com/US-en/ONTAP-cli/vserver-services-name-service-ns-switch-modify.html[
vserver services name-service ns-switch modify
em referência de comando ONTAP. -
Criar uma função personalizada com acesso ao endpoint da API REST do usuário S3:
security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type>
Neste exemplo, as3-role
função é gerada para usuários na VM de armazenamentosvm-1
, à qual todos os direitos de acesso, leitura, criação e atualização são concedidos.security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all
Saiba mais sobre o comando link:https://docs.NetApp.com/US-en/ONTAP-cli/security-login-rest-role-create.html[
security login rest-role create
em referência de comando ONTAP. -
Crie um grupo de usuários LDAP com o comando de login de segurança e adicione a nova função personalizada para acessar o endpoint da API REST do usuário S3. Saiba mais sobre o comando link:https://docs.NetApp.com/US-en/ONTAP-cli//security-login-create.html[`security login create`em referência de comando ONTAP.
security login create -user-or-group-name <ldap-group-name> -application http -authentication-method nsswitch -role <custom-role-name> -is-ns-switch-group yes
Neste exemplo, o grupo LDAP
ldap-group-1
é criado nosvm-1
, e a função personalizadas3role
é adicionada a ele para acessar o endpoint da API, juntamente com a habilitação do acesso LDAP no modo de vinculação rápida.security login create -user-or-group-name ldap-group-1 -application http -authentication-method nsswitch -role s3role -is-ns-switch-group yes -second-authentication-method none -vserver svm-1 -is-ldap-fastbind yes
Para obter mais informações, "Use LDAP fast bind para autenticação nsswitch"consulte .
A adição da função personalizada ao domínio ou grupo LDAP permite aos usuários desse grupo um acesso limitado ao endpoint do ONTAP /api/protocols/s3/services/{svm.uuid}/users
. Ao invocar a API, os usuários do domínio ou grupo LDAP podem gerar seu próprio acesso e chaves secretas para acessar o cliente S3. Eles podem gerar as chaves apenas para si mesmos e não para outros usuários.
Como um usuário S3 ou LDAP, gere suas próprias chaves de acesso
A partir do ONTAP 9.14,1, você pode gerar seu próprio acesso e chaves secretas para acessar clientes S3, se o administrador lhe concedeu a função de gerar suas próprias chaves. Você pode gerar chaves somente para si mesmo usando o seguinte endpoint da API REST do ONTAP.
Essa chamada de API REST usa o método e o endpoint a seguir. Para obter informações sobre os outros métodos deste endpoint, consulte a "Documentação do API" referência .
Método HTTP | Caminho |
---|---|
POST |
/api/protocols/s3/services/(svm.uuid)/users |
curl
--request POST \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users " \
--include \
--header "Accept: */*" \
--header "Authorization: Basic $BASIC_AUTH"
--data '{"name":"_name_"}'
{ "records": [ { "access_key": "Pz3SB54G2B_6dsXQPrA5HrTPcf478qoAW6_Xx6qyqZ948AgZ_7YfCf_9nO87YoZmskxx3cq41U2JAH2M3_fs321B4rkzS3a_oC5_8u7D8j_45N8OsBCBPWGD_1d_ccfq", "_links": { "next": { "href": "/api/resourcelink" }, "self": { "href": "/api/resourcelink" } }, "name": "user-1", "secret_key": "A20_tDhC_cux2C2BmtL45bXB_a_Q65c_96FsAcOdo14Az8V31jBKDTc0uCL62Bh559gPB8s9rrn0868QrF38_1dsV2u1_9H2tSf3qQ5xp9NT259C6z_GiZQ883Qn63X1" } ], "num_records": "1" }