创建或修改ONTAP S3对象存储服务器策略
您可以创建可应用于对象存储中的一个或多个分段的策略。可以将对象存储服务器策略附加到用户组,从而简化跨多个存储分段的资源访问管理。
包含 S3 服务器和存储分段且已启用 S3 的 SVM 必须已存在。
您可以通过在对象存储服务器组中指定默认或自定义策略来在 SVM 级别启用访问策略。只有在组定义中指定策略后,这些策略才会生效。
使用对象存储服务器策略时,您可以在组定义中指定主体(即用户和组),而不是在策略本身中指定主体。 |
访问 ONTAP S3 资源有三种只读默认策略:
-
完全访问
-
NoS3 访问
-
只读访问
您也可以创建新的自定义策略,然后为新用户和组添加新语句,或者修改现有语句的属性。有关链接:https://docs NetApp.ONTAP-CLI/index.html^的更多信息,请[`vserver object-store-server policy`参阅ONTAP命令参考。
从ONTAP 9.9.1开始、如果您计划在ONTAP S3服务器上支持AWS客户端对象标记功能、请执行以下操作 GetObjectTagging
, PutObjectTagging
,和 DeleteObjectTagging
需要允许使用存储分段或组策略。
您关注的操作步骤 取决于您使用的界面—System Manager或命令行界面:
使用System Manager创建或修改对象存储服务器策略
-
编辑Storage VM:单击*存储> Storage VM*、单击Storage VM、单击*设置*、然后单击 S3下的。
-
添加用户:单击 * 策略 * ,然后单击 * 添加 * 。
-
输入策略名称并从组列表中进行选择。
-
选择现有默认策略或添加新策略。
添加或修改组策略时,您可以指定以下参数:
-
group :授予访问权限的组。
-
影响:允许或拒绝对一个或多个组的访问。
-
操作:给定组的一个或多个分段中允许的操作。
-
资源:授予或拒绝访问权限的一个或多个分段中的对象的路径和名称。 例如:
-
* 授予对 Storage VM 中所有分段的访问权限。
-
* bucketname* 和 * bucketname/* 授予对特定存储分段中所有对象的访问权限。
-
*bucketname/readme.txt 授予对特定存储分段中某个对象的访问权限。
-
-
-
如果需要,可将语句添加到现有策略中。
-
使用命令行界面创建或修改对象存储服务器策略
-
创建对象存储服务器策略:
vserver object-store-server policy create -vserver svm_name -policy policy_name [-comment text]
-
为策略创建语句:
vserver object-store-server policy statement create -vserver svm_name -policy policy_name -effect {allow|deny} -action object_store_actions -resource object_store_resources [-sid text]
以下参数用于定义访问权限:
-effect
该语句可能允许或拒绝访问
-action
您可以指定
*
表示所有操作、或者包含以下一项或多项的列表:GetObject, PutObject, DeleteObject, ListBucket,GetBucketAcl, GetObjectAcl, ListAllMyBuckets, ListBucketMultipartUploads,
和ListMultipartUploadParts
。-resource
分段及其包含的任何对象。通配符
*
和?
可用于形成用于指定资源的正则表达式。您可以选择使用指定文本字符串作为注释
-sid
选项默认情况下,新的语句将添加到语句列表的末尾,并按顺序进行处理。以后添加或修改语句时、您可以选择修改该语句的
-index
设置以更改处理顺序。
有关此过程中所述命令的更多信息,请参见"ONTAP 命令参考"。