StorageGRIDシステムでのREST APIのセキュリティ

StorageGRIDシステムでREST APIのセキュリティ、認証、および許可がどのように実装されるかを理解しておく必要があります。

StorageGRIDでは、次のセキュリティ対策が採用されています。

セキュリティ証明書とクライアント アプリケーション

クライアントは、ゲートウェイ ノードまたは管理ノード上のロード バランサ サービスに接続するか、ストレージ ノードに直接接続するか、またはゲートウェイ ノード上の従来型CLBサービスに直接接続することができます。

いずれの場合も、クライアント アプリケーションは、グリッド管理者がアップロードしたカスタム サーバ証明書またはStorageGRIDシステムが生成した証明書を使用して、TLS接続を確立できます。
  • ロード バランサ サービスに接続する場合、クライアント アプリケーションは、接続に使用したロード バランサ エンドポイント用に設定された証明書を使用します。各エンドポイントには独自の証明書があり、グリッド管理者がアップロードしたカスタム サーバ証明書か、グリッド管理者がエンドポイントを設定する際にStorageGRIDで生成した証明書のいずれかです。
  • ストレージ ノードに直接接続する場合またはゲートウェイ ノード上の従来型CLBサービスに直接接続する場合、クライアント アプリケーションは、StorageGRIDシステムのインストール時にストレージ ノード用にシステムで生成されたサーバ証明書(システム認証局によって署名されたもの)、またはグリッド管理者がグリッド用に提供した単一のカスタム サーバ証明書を使用します。

TLS接続の確立に使用する証明書に署名した認証局を信頼するよう、クライアントを設定する必要があります。

ロード バランサ エンドポイントの設定に関する情報や、ストレージ ノードまたはゲートウェイ ノード上の従来型CLBサービスとの直接的なTLS接続に使用する単一のカスタム サーバ証明書を追加する方法については、StorageGRIDの管理手順を参照してください。

概要

次の表に、S3およびSwiftのREST APIにおけるセキュリティの問題に対する実装を示します。

セキュリティの問題 REST APIの実装
接続のセキュリティ TLS
サーバ認証 システムのCAによって署名されたX.509サーバ証明書、または管理者から提供されたカスタム サーバ証明書
クライアント認証
  • S3:S3アカウント(アクセス キーIDとシークレット アクセス キー)
  • Swift:Swiftアカウント(ユーザ名とパスワード)
    注:Swift REST APIでは、要求に応じて、OpenStackのKeystone IDサービスを有効にして使用することができます。Keystoneが有効になっている場合は、検証用に追加のトークンを使用する必要があります。Keystoneのサポートを有効にするには、ネットアップの担当者にお問い合わせください。
クライアント許可
  • S3:バケットの所有権と適用可能なすべてのアクセス制御ポリシー
  • Swift:管理者ロールのアクセス