テナントの管理

グリッド管理者は、テナント アカウントを作成および管理して、StorageGRIDシステムを使用してクライアントが実行できる操作を管理します。S3 / Swiftクライアントは、テナント アカウントを使用してオブジェクトの格納と読み出し、およびストレージ使用状況の監視を行います。

テナント アカウントとは

テナント アカウントは、Simple Storage Service(S3)REST APIまたはSwift REST APIを使用するクライアント アプリケーションが、StorageGRIDでオブジェクトの格納や読み出しを行うことを可能にします。

各テナント アカウントで使用できるプロトコルは1つで、アカウントの作成時に指定します。両方のプロトコルを使用してStorageGRIDシステムに対するオブジェクトの格納と読み出しを行うには、2つのテナント アカウント(S3のバケットとオブジェクト用に1つ、Swiftのコンテナとオブジェクト用に1つ)を作成する必要があります。各テナント アカウントには、専用のアカウントID、権限を付与されたグループとユーザ、バケット(Swiftの場合はコンテナ)、オブジェクトがあります。

システムに格納されているオブジェクトをエンティティ別に分離する場合は、追加のテナント アカウントを作成できます。たとえば、次のユースケースでは複数のテナント アカウントをセットアップできます。
  • エンタープライズのユースケース:エンタープライズ アプリケーションでStorageGRIDシステムを管理する場合は、組織内の部門ごとにグリッドのオブジェクト ストレージを分離する必要があります。この場合は、マーケティング部門、カスタマー サポート部門、人事部門などのテナント アカウントを作成できます。
    注:S3クライアント プロトコルを使用する場合は、S3バケットとバケット ポリシーを使用してエンタープライズ内の部門間でオブジェクトを分離できます。テナント アカウントを使用する必要はありません。詳細については、S3クライアント アプリケーションを実装する手順を参照してください。
  • サービス プロバイダのユースケース:サービス プロバイダとしてStorageGRIDシステムを管理する場合は、グリッド上のストレージをリースするエンティティごとにグリッドのオブジェクト ストレージを分離できます。この場合は、A社、B社、C社などのテナント アカウントを作成します。

テナント アカウントの作成および設定

テナント アカウントを作成する際には次の情報を指定します。
  • テナント アカウントの表示名。
  • テナント アカウントで使用されるクライアント プロトコル(S3またはSwift)。
  • S3テナント アカウントの場合:テナント アカウントにS3バケットでプラットフォーム サービスを使用する権限があるかどうか。テナント アカウントにプラットフォーム サービスを使用できる権限を与える場合は、プラットフォーム サービスを使用できるようグリッドを設定する必要があります。「プラットフォーム サービスの管理」を参照してください。
  • (オプション)テナント アカウントのストレージ クォータ(テナントのオブジェクトに使用できる最大のギガバイト数、テラバイト数、またはペタバイト数)。テナントのストレージ クォータは、物理容量(ディスクのサイズ)ではなく、論理容量(オブジェクトのサイズ)を表します。
  • StorageGRIDシステムでアイデンティティ フェデレーションが有効になっている場合は、テナント アカウントを設定するためのRoot Access権限が割り当てられているフェデレーテッド グループ。
  • StorageGRIDシステムでシングル サインオン(SSO)が使用されていない場合は、テナント アカウントが独自のアイデンティティ ソースを使用するのかまたはグリッドのアイデンティティ ソースを共有するのか、およびテナントのローカルrootユーザの初期パスワード。
テナント アカウントが作成されたら、次のタスクを実行できます。
  • グリッドのプラットフォーム サービスを管理:テナント アカウントでプラットフォーム サービスを有効にする場合は、プラットフォーム サービス メッセージの配信方法と、StorageGRID環境でプラットフォーム サービスを使用する際のネットワーク要件を把握しておく必要があります。
  • テナント アカウントのストレージ使用状況を監視:テナントがアカウントの使用を開始したら、Grid Managerを使用して各テナントが消費するストレージ容量を監視できます。
  • クライアント処理を設定:一部のタイプのクライアント処理を禁止するかどうかを設定できます。

S3テナントの設定

S3テナント アカウントが作成されたら、テナントのユーザはTenant Managerにアクセスし、主に次のタスクを実行できます。
  • アイデンティティ フェデレーションの設定(グリッドとアイデンティティ ソースを共有する場合を除く)、およびローカル グループとユーザの作成
  • S3アクセス キーの管理
  • S3バケットの作成と管理
  • ストレージ使用状況の監視
  • プラットフォーム サービスの使用(有効な場合)
注意:S3テナント ユーザは、Tenant Managerを使用してS3アクセス キーとバケットを作成、管理できますが、オブジェクトを取り込んで管理するには、S3クライアント アプリケーションを使用する必要があります。

Swiftテナントの設定

Swiftテナント アカウントが作成されたら、テナントのrootユーザはTenant Managerにアクセスし、主に次のタスクを実行できます。
  • アイデンティティ フェデレーションの設定(グリッドとアイデンティティ ソースを共有する場合を除く)、およびローカル グループとユーザの作成
  • ストレージ使用状況の監視
注意:SwiftユーザがTenant Managerにアクセスするには、Root Access権限が必要です。ただしRoot Access権限では、Swift REST APIに認証してコンテナを作成したりオブジェクトを取り込んだりすることはできません。Swift REST APIに認証するにはAdministrator権限が必要です。