Habilite os usuários LDAP ou de domínio para gerar suas próprias chaves de acesso ONTAP S3
Sugerir alterações
PDFs
A partir do ONTAP 9.14,1, como administrador do ONTAP, você pode criar funções personalizadas e concedê-las a grupos locais ou de domínio ou a grupos LDAP (Lightweight Directory Access Protocol), de modo que os usuários pertencentes a esses grupos possam gerar seu próprio acesso e chaves secretas para acesso ao cliente S3.
Você precisa executar algumas etapas de configuração na VM de armazenamento para que a função personalizada possa ser criada e atribuída ao usuário que invoca a API para geração de chaves de acesso.
|
Se o LDAP estiver desabilitado, você pode "configurar serviços de diretório externo para acesso ONTAP S3" para permitir que os usuários gerem chaves de acesso. |
Certifique-se de que:
-
Uma VM de armazenamento habilitada para S3 contendo um servidor S3 foi criada. "Criar um SVM para S3"Consulte .
-
Um bucket foi criado nessa VM de storage. "Crie um bucket"Consulte .
-
O DNS está configurado na VM de armazenamento. "Configurar serviços DNS"Consulte .
-
Um certificado de autoridade de certificação raiz (CA) autoassinado do servidor LDAP é instalado na VM de armazenamento. "Instalar certificados de CA raiz autoassinados no SVM"Consulte .
-
Um cliente LDAP é configurado com TLS ativado na VM de armazenamento. "Crie configurações de cliente LDAP para acesso ONTAP NFS"Consulte .
-
Associe a configuração do cliente ao SVM. "Associar configurações de cliente LDAP com SVMs ONTAP NFS"Consulte . Saiba mais sobre
vserver services name-service ldap createo "Referência do comando ONTAP"na . -
Se você estiver usando uma VM de armazenamento de dados, crie uma interface de rede de gerenciamento (LIF) e na VM e também uma política de serviço para o LIF. Saiba mais sobre
network interface createenetwork interface service-policy createno "Referência do comando ONTAP".
Configurar usuários para geração de chaves de acesso
-
Especifique LDAP como o banco de dados name Service da VM de armazenamento para o grupo e a senha para LDAP:
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldapSaiba mais sobre
vserver services name-service ns-switch modifyo "Referência do comando ONTAP"na . -
Criar uma função personalizada com acesso ao endpoint da API REST do usuário S3:
security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type>Neste exemplo, as3-rolefunção é gerada para usuários na VM de armazenamentosvm-1, à qual todos os direitos de acesso, leitura, criação e atualização são concedidos.security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all
Saiba mais sobre
security login rest-role createo "Referência do comando ONTAP"na . -
Crie um grupo de usuários LDAP com o
security logincomando e adicione a nova função personalizada para acessar o ponto de extremidade da API REST do usuário S3. Saiba mais sobresecurity login createno "Referência do comando ONTAP" .security login create -user-or-group-name <ldap-group-name> -application http -authentication-method nsswitch -role <custom-role-name> -is-ns-switch-group yesNeste exemplo, o grupo LDAP
ldap-group-1é criado nosvm-1, e a função personalizadas3roleé adicionada a ele para acessar o endpoint da API, juntamente com a habilitação do acesso LDAP no modo de vinculação rápida.security login create -user-or-group-name ldap-group-1 -application http -authentication-method nsswitch -role s3role -is-ns-switch-group yes -second-authentication-method none -vserver svm-1 -is-ldap-fastbind yes
Para obter mais informações, "Use a vinculação rápida LDAP para autenticação nsswitch para SVMs ONTAP NFS"consulte .
Saiba mais sobre
security login createo "Referência do comando ONTAP"na .
Adicionar a função personalizada ao grupo LDAP permite que os usuários desse grupo tenham acesso limitado ao ONTAP /api/protocols/s3/services/{svm.uuid}/users ponto final. Ao invocar a API, os usuários do grupo LDAP podem gerar suas próprias chaves de acesso e chaves secretas para acessar o cliente S3. Eles podem gerar as chaves apenas para si mesmos e não para outros usuários.
-
Crie uma função personalizada com acesso ao ponto de extremidade da API REST do usuário do S3:
security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type>Neste exemplo, o s3-role a função é gerada para usuários na VM de armazenamento svm-1 , ao qual são concedidos todos os direitos de acesso, leitura, criação e atualização.
security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all
Saiba mais sobre security login rest-role create o "Referência do comando ONTAP"na .
-
Crie um grupo de usuários de domínio com o
security logincomando e adicione a nova função personalizada para acessar o ponto de extremidade da API REST do usuário S3. Saiba mais sobresecurity login createno "Referência do comando ONTAP" .security login create -vserver <vserver-name> -user-or-group-name domain\<group-name> -application http -authentication-method domain -role <custom-role-name>Neste exemplo, o grupo de domínio
domain\group1é criado emsvm-1, e a função personalizadas3roleé adicionado a ele para acessar o ponto de extremidade da API.security login create -user-or-group-name domain\group1 -application http -authentication-method domain -role s3role -vserver svm-1
Saiba mais sobre
security login createo "Referência do comando ONTAP"na .
Adicionar a função personalizada ao grupo de domínio permite que os usuários desse grupo tenham acesso limitado ao ONTAP /api/protocols/s3/services/{svm.uuid}/users ponto final. Ao invocar a API, os usuários do grupo de domínio podem gerar suas próprias chaves de acesso e chaves secretas para acessar o cliente S3. Eles podem gerar as chaves apenas para si mesmos e não para outros usuários.
Como um usuário S3 ou LDAP, gere suas próprias chaves de acesso
A partir do ONTAP 9.14,1, você pode gerar seu próprio acesso e chaves secretas para acessar clientes S3, se o administrador lhe concedeu a função de gerar suas próprias chaves. Você pode gerar chaves somente para si mesmo usando o seguinte endpoint da API REST do ONTAP.
Esta chamada da API REST usa o seguinte método e ponto de extremidade. Para obter mais informações sobre este ponto de extremidade, consulte a referência "Documentação do API" .
| Método HTTP | Caminho |
|---|---|
POST |
/api/protocols/s3/services/(svm.uuid)/users |
Para usuários de domínio, use o seguinte formato para o nome de usuário do S3: user@fqdn , onde fqdn é o nome de domínio totalmente qualificado do domínio.
curl
--request POST \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users " \
--include \
--header "Accept: */*" \
--header "Authorization: Basic $BASIC_AUTH"
--data '{"name":"user1@example.com"}'{
"records": [
{
"access_key": "4KX07KF7ML8YNWY01JWG",
"_links": {
"next": {
"href": "/api/resourcelink"
},
"self": {
"href": "/api/resourcelink"
}
},
"name": "user1@example.com",
"secret_key": "<secret_key_value>"
}
],
"num_records": "1"
}
Se já existir um usuário S3, você poderá gerar novamente suas chaves de acesso e secretas. Esta chamada de API REST usa o seguinte método e endpoint.
| Método HTTP | Caminho |
|---|---|
CORREÇÃO |
/api/protocolos/s3/serviços/{svm.uuid}/usuários/{nome} |
curl
--request PATCH \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users/{name} " \
--include \
--header "Authorization: Basic $BASIC_AUTH" \
--data '{"regenerate_keys":"True"}'{
"records": [
{
"access_key": "DX12U609DMRVD8U30Z1M",
"_links": {
"self": {
"href": "/api/resourcelink"
}
},
"name": "user1@example.com",
"secret_key": "<secret_key_value>"
}
],
"num_records": "1"
}