S3テナント用のグループの作成

S3ユーザ グループの権限を管理するには、フェデレーテッド グループをインポートするか、ローカル グループを作成します。

開始する前に

手順

  1. [Access Control] > [Groups]を選択します。

    [Access Control] > [Groups]ページのスクリーンショット
  2. [Add]をクリックします。
    [Add Group]ページが表示されます。
    [Add Group]ダイアログ ボックスのスクリーンショット
  3. グループのタイプとして、ローカル グループを作成する場合は[Local]を選択し、以前に設定したアイデンティティ ソースからグループをインポートする場合は[Federated]を選択します。
    注意:StorageGRIDシステムでシングル サインオン(SSO)が有効になっている場合、ローカル グループに属するユーザはTenant Managerにサインインできません。ただし、クライアント アプリケーションを使用して、グループの権限に基づいてテナントのリソースを管理することはできます。
  4. グループの名前を入力します。
    選択した項目 入力する内容
    Local このグループの表示名と一意の名前の両方。表示名はあとで編集できます。
    Federated フェデレーテッド グループの一意の名前。
    注:Active Directoryの場合は、sAMAccountName属性に関連付けられた一意の名前です。OpenLDAPの場合は、uid属性に関連付けられた一意の名前です。
  5. このグループに割り当てるテナント アカウントの権限を選択します。
    「テナント管理権限」を参照してください。
  6. [Group Policy]ドロップダウンから、グループのメンバーに付与するS3アクセス権限を定義するオプションを選択します。
    オプション 説明
    No S3 Access デフォルト。バケット ポリシーでアクセスが許可されていないかぎり、このグループのユーザはS3リソースにアクセスできません。このオプションを選択すると、デフォルトではrootユーザにのみS3リソースへのアクセスが許可されます。
    Read Only Access このグループのユーザには、S3リソースへの読み取り専用アクセスが許可されます。たとえば、オブジェクトをリストして、オブジェクト データ、メタデータ、およびタグを読み取ることができます。このオプションを選択すると、テキストボックスに読み取り専用グループ ポリシーのJSON文字列が表示されます。この文字列は編集できません。
    Full Access このグループのユーザには、バケットを含むS3リソースへのフル アクセスが許可されます。このオプションを選択すると、テキストボックスにフル アクセス グループ ポリシーのJSON文字列が表示されます。この文字列は編集できません。
    Custom このグループのユーザには、テキストボックスで指定した権限が付与されます。

    言語の構文や例など、グループ ポリシーの詳細については、S3クライアント アプリケーションを実装する手順を参照してください。

  7. [Custom]を選択した場合は、グループ ポリシーを入力します。
    注:各グループ ポリシーのサイズは5,120バイトまでに制限されています。有効なJSON形式の文字列を入力する必要があります。
    この例では、指定したバケット内の固有のフォルダ(キー プレフィックス)の参照とアクセスだけがグループのメンバーに許可されます。これらのフォルダのプライバシー設定を決めるときは、他のグループ ポリシーやバケット ポリシーのアクセス権限を考慮する必要があります。
    テナント グループにカスタム グループ ポリシーを追加する画面
  8. [Save]をクリックします。

    キャッシングのために、新しいグループ ポリシーが有効になるまでに最大で15分を要します。