S3ユーザ グループの権限を管理するには、フェデレーテッド グループをインポートするか、ローカル グループを作成します。
開始する前に
- Tenant Managerにはサポートされているブラウザを使用してサインインする必要があります。
- 特定のアクセス権限が必要です。
- フェデレーテッド グループをインポートする場合は、アイデンティティ フェデレーションを設定済みで、インポートするフェデレーテッド グループが設定済みのアイデンティティ ソースにあらかじめ存在している必要があります。
手順
- を選択します。
- [Add]をクリックします。
[Add Group]ページが表示されます。
![[Add Group]ダイアログ ボックスのスクリーンショット](GUID-47F0CD66-C59A-4947-8DCF-1CEDD5B15FBD-low.gif)
- グループのタイプとして、ローカル グループを作成する場合は[Local]を選択し、以前に設定したアイデンティティ ソースからグループをインポートする場合は[Federated]を選択します。
注意:StorageGRIDシステムでシングル サインオン(SSO)が有効になっている場合、ローカル グループに属するユーザはTenant Managerにサインインできません。ただし、クライアント アプリケーションを使用して、グループの権限に基づいてテナントのリソースを管理することはできます。
- グループの名前を入力します。
| 選択した項目 |
入力する内容 |
|---|
| Local |
このグループの表示名と一意の名前の両方。表示名はあとで編集できます。 |
| Federated |
フェデレーテッド グループの一意の名前。 注:Active Directoryの場合は、sAMAccountName属性に関連付けられた一意の名前です。OpenLDAPの場合は、uid属性に関連付けられた一意の名前です。
|
- このグループに割り当てるテナント アカウントの権限を選択します。
「テナント管理権限」を参照してください。
- [Group Policy]ドロップダウンから、グループのメンバーに付与するS3アクセス権限を定義するオプションを選択します。
| オプション |
説明 |
|---|
| No S3 Access |
デフォルト。バケット ポリシーでアクセスが許可されていないかぎり、このグループのユーザはS3リソースにアクセスできません。このオプションを選択すると、デフォルトではrootユーザにのみS3リソースへのアクセスが許可されます。 |
| Read Only Access |
このグループのユーザには、S3リソースへの読み取り専用アクセスが許可されます。たとえば、オブジェクトをリストして、オブジェクト データ、メタデータ、およびタグを読み取ることができます。このオプションを選択すると、テキストボックスに読み取り専用グループ ポリシーのJSON文字列が表示されます。この文字列は編集できません。 |
| Full Access |
このグループのユーザには、バケットを含むS3リソースへのフル アクセスが許可されます。このオプションを選択すると、テキストボックスにフル アクセス グループ ポリシーのJSON文字列が表示されます。この文字列は編集できません。 |
| Custom |
このグループのユーザには、テキストボックスで指定した権限が付与されます。 言語の構文や例など、グループ ポリシーの詳細については、S3クライアント アプリケーションを実装する手順を参照してください。
|
- [Custom]を選択した場合は、グループ ポリシーを入力します。
注:各グループ ポリシーのサイズは5,120バイトまでに制限されています。有効なJSON形式の文字列を入力する必要があります。
例
この例では、指定したバケット内の固有のフォルダ(キー プレフィックス)の参照とアクセスだけがグループのメンバーに許可されます。これらのフォルダのプライバシー設定を決めるときは、他のグループ ポリシーやバケット ポリシーのアクセス権限を考慮する必要があります。
- [Save]をクリックします。
キャッシングのために、新しいグループ ポリシーが有効になるまでに最大で15分を要します。
![[Access Control] > [Groups]ページのスクリーンショット](GUID-0B08CD85-C89A-4E2B-A4B0-A9C9068AE5BD-low.gif)