Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

创建或修改对象存储服务器策略

贡献者

您可以创建可应用于对象存储中的一个或多个分段的策略。可以将对象存储服务器策略附加到用户组,从而简化跨多个存储分段的资源访问管理。

开始之前

包含 S3 服务器和存储分段且已启用 S3 的 SVM 必须已存在。

关于此任务

您可以通过在对象存储服务器组中指定默认或自定义策略来在 SVM 级别启用访问策略。只有在组定义中指定策略后,这些策略才会生效。

备注 使用对象存储服务器策略时,您可以在组定义中指定主体(即用户和组),而不是在策略本身中指定主体。

访问 ONTAP S3 资源有三种只读默认策略:

  • 完全访问

  • NoS3 访问

  • 只读访问

您也可以创建新的自定义策略,然后为新用户和组添加新语句,或者修改现有语句的属性。有关更多选项、请参见 vserver object-store-server policy "命令参考"

从ONTAP 9.9.1开始、如果您计划在ONTAP S3服务器上支持AWS客户端对象标记功能、请执行以下操作 GetObjectTaggingPutObjectTagging,和 DeleteObjectTagging 需要允许使用存储分段或组策略。

您关注的操作步骤 取决于您使用的界面—System Manager或命令行界面:

System Manager

使用System Manager创建或修改对象存储服务器策略

步骤
  1. 编辑 Storage VM :单击 * 存储 > Storage VM* ,单击此 Storage VM ,单击 * 设置 * ,然后单击 铅笔图标 在 S3 下。

  2. 添加用户:单击 * 策略 * ,然后单击 * 添加 * 。

    1. 输入策略名称并从组列表中进行选择。

    2. 选择现有默认策略或添加新策略。

      添加或修改组策略时,您可以指定以下参数:

      • group :授予访问权限的组。

      • 影响:允许或拒绝对一个或多个组的访问。

      • 操作:给定组的一个或多个分段中允许的操作。

      • 资源:授予或拒绝访问权限的一个或多个分段中的对象的路径和名称。 例如:

        • * 授予对 Storage VM 中所有分段的访问权限。

        • * bucketname* 和 * bucketname/* 授予对特定存储分段中所有对象的访问权限。

        • *bucketname/readme.txt 授予对特定存储分段中某个对象的访问权限。

    3. 如果需要,可将语句添加到现有策略中。

命令行界面

使用命令行界面创建或修改对象存储服务器策略

步骤
  1. 创建对象存储服务器策略:

    vserver object-store-server policy create -vserver svm_name -policy policy_name [-comment text]

  2. 为策略创建语句:

    vserver object-store-server policy statement create -vserver svm_name -policy policy_name -effect {allow|deny} -action object_store_actions -resource object_store_resources [-sid text]

    以下参数用于定义访问权限:

    -effect

    该语句可能允许或拒绝访问

    -action

    您可以指定 * 表示所有操作、或者包含以下一项或多项的列表: GetObject, PutObject, DeleteObject, ListBucket,GetBucketAcl, GetObjectAcl, ListAllMyBuckets, ListBucketMultipartUploads,ListMultipartUploadParts

    -resource

    分段及其包含的任何对象。通配符 *? 可用于形成用于指定资源的正则表达式。

    您可以选择使用指定文本字符串作为注释 -sid 选项

    默认情况下,新的语句将添加到语句列表的末尾,并按顺序进行处理。以后添加或修改语句时、您可以选择修改该语句的 -index 设置以更改处理顺序。