Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

管理管理组

贡献者
PDF

您可以创建管理组来管理一个或多个管理员用户的安全权限。用户必须属于要授予对 StorageGRID 系统访问权限的组。

创建管理组

通过管理组,您可以确定哪些用户可以访问网格管理器和网格管理 API 中的哪些功能和操作。

您需要的内容

  • 您必须使用支持的浏览器登录到网格管理器。

  • 您必须具有特定的访问权限。

  • 如果您计划导入联合组、则必须已配置身份联合、并且已配置的身份源中必须已存在此联合组。

步骤

  1. 选择*配置访问控制管理组

    此时将显示Admin Groups页面、其中列出了任何现有的管理组。

    组页面

  2. 选择 * 添加 * 。

    此时将显示添加组对话框。

    添加组

  3. 对于组类型、如果要创建仅在StorageGRID 中使用的组、请选择*本地*;如果要从身份源导入组、请选择*联合*。

  4. 如果选择了*本地*、请输入组的显示名称。显示名称是显示在网格管理器中的名称。例如, " M维护用户 " 或 "`ILM 管理员。`

  5. 输入组的唯一名称。

    • 本地:输入所需的唯一名称。例如、“ILM管理员。”

    • 联合:输入组在配置的身份源中显示的名称。

  6. 对于*访问模式*、选择组中的用户是否可以在网格管理器和网格管理API中更改设置并执行操作、或者选择他们是否只能查看设置和功能。

    • * 读写 * (默认):用户可以更改其管理权限允许的设置并执行这些操作。

    • * 只读 * :用户只能查看设置和功能。他们不能在网格管理器或网格管理 API 中进行任何更改或执行任何操作。本地只读用户可以更改自己的密码。

      备注 如果用户属于多个组,并且任何组设置为 * 只读 * ,则用户将对所有选定设置和功能具有只读访问权限。

  7. 选择一个或多个管理权限。

    您必须为每个组至少分配一个权限;否则,属于该组的用户将无法登录到 StorageGRID 。

  8. 选择 * 保存 * 。

    此时将创建新组。如果此组为本地组、则现在可以添加一个或多个用户。如果这是联合组、则身份源将管理属于该组的用户。

相关信息

"管理本地用户"

管理组权限

创建管理员用户组时,您可以选择一个或多个权限来控制对网格管理器特定功能的访问。然后,您可以将每个用户分配给一个或多个管理组,以确定用户可以执行的任务。

您必须为每个组至少分配一个权限;否则、属于该组的用户将无法登录到网格管理器。

默认情况下,属于至少具有一个权限的组的任何用户均可执行以下任务:

  • 登录到网格管理器

  • 查看信息板

  • 查看节点页面

  • 监控网格拓扑

  • 查看当前警报和已解决警报

  • 查看当前和历史警报(旧系统)

  • 更改自己的密码(仅限本地用户)

  • 在配置和维护页面上查看特定信息

以下各节介绍了在创建或编辑管理组时可以分配的权限。未明确提及的任何功能都需要root访问权限。

根访问

通过此权限,可以访问所有网格管理功能。

管理警报

通过此权限,您可以访问用于管理警报的选项。用户必须具有此权限才能管理静音,警报通知和警报规则。

确认警报(旧系统)

此权限可用于确认和响应警报(旧系统)。所有已登录用户均可查看当前和历史警报。

如果您希望用户仅监控网格拓扑并确认警报,则应分配此权限。

网格拓扑页面配置

通过此权限、您可以访问以下菜单选项:

  • 可从*支持*工具网格拓扑*页面访问的配置选项卡。

  • 节点***事件*选项卡上的*重置事件计数*链接。

其他网格配置

通过此权限可以访问其他网格配置选项。

重要说明 要查看这些附加选项、用户还必须具有网格拓扑页面配置权限。

  • 警报(旧系统):

    • 全局警报

    • 旧电子邮件设置

  • * ILM :

    • 存储池

    • 存储等级

  • 配置*网络设置

    • 链路成本

  • 配置*系统设置

    • 显示选项

    • 网格选项

    • 存储选项

  • 配置*监控*:

    • 事件

  • 支持

    • AutoSupport

租户帐户

通过此权限可以访问*租户***租户帐户*页面。

备注 网格管理API版本1 (已弃用)使用此权限管理租户组策略、重置Swift管理员密码以及管理root用户S3访问密钥。

更改租户root密码

通过此权限、您可以访问租户帐户页面上的*更改根密码*选项、从而可以控制谁可以更改租户的本地root用户的密码。不具有此权限的用户无法看到*更改根密码*选项。

备注 您必须先为组分配租户帐户权限、然后才能分配此权限。

维护

通过此权限、您可以访问以下菜单选项:

  • 配置*系统设置

    • 域名*

    • 服务器证书*

  • 配置*监控*:

    • 审核*

  • 配置*访问控制

    • 网格密码

  • 维护*维护任务*

    • 停用

    • 扩展

    • 恢复

  • 维护*网络

    • DNS服务器*

    • 网格网络*

    • NTP服务器*

  • 维护*系统

    • 许可证*

    • 恢复软件包

    • 软件更新

  • 支持*工具

    • 日志

  • 没有维护权限的用户可以查看但不能编辑标有星号的页面。

指标查询

通过此权限、您可以访问*支持*工具*指标*页面。通过此权限,还可以使用网格管理 API 的 * 指标 * 部分访问自定义的 Prometheus 指标查询。

ILM

通过此权限,您可以访问以下 * ILM * 菜单选项:

  • 擦除编码

  • 规则

  • * 策略 *

  • 区域

备注 对* ILM *存储池*和 ILM *存储级别*菜单选项的访问由"其他网格配置"和"网格拓扑页面配置"权限控制。

对象元数据查找

通过此权限可以访问* ILM *对象元数据查找*菜单选项。

存储设备管理员

通过此权限,您可以通过网格管理器访问存储设备上的 E 系列 SANtricity 系统管理器。

权限与访问模式之间的交互

对于所有权限、组的访问模式设置将确定用户是否可以更改设置并执行操作、或者是否只能查看相关设置和功能。如果用户属于多个组,并且任何组设置为 * 只读 * ,则用户将对所有选定设置和功能具有只读访问权限。

从网格管理API停用功能

您可以使用网格管理 API 完全停用 StorageGRID 系统中的某些功能。停用某个功能后,不能为任何人分配执行与该功能相关的任务的权限。

关于此任务

停用的功能系统允许您阻止访问 StorageGRID 系统中的某些功能。停用某个功能是防止root用户或具有root访问权限的管理组中的用户能够使用该功能的唯一方法。

要了解此功能的有用程度,请考虑以下情形:

_Company A 是一家服务提供商,通过创建租户帐户租用其 StorageGRID 系统的存储容量。为了保护租户对象的安全, A 公司希望确保自己的员工在部署帐户后永远不能访问任何租户帐户。 _

_Company A 可以通过使用网格管理 API 中的停用功能系统来实现此目标。通过完全停用网格管理器中的*更改租户根密码*功能(UI和API)、公司A可以确保任何管理员用户(包括root用户和具有root访问权限的组中的用户)都不能更改任何租户帐户的root用户的密码

重新激活已停用的功能

默认情况下,您可以使用网格管理 API 重新激活已停用的功能。但是,如果要防止重新激活已停用的功能,则可以停用 * 激活功能 * 功能本身。

注意 无法重新激活 * 活动功能 * 功能。如果您决定停用此功能,请注意,您将永远无法重新激活任何其他已停用的功能。要还原任何丢失的功能,您必须联系技术支持。

有关详细信息、请参见实施S3或Swift客户端应用程序的说明。

步骤

  1. 访问网格管理 API 的 Swagger 文档。

  2. 找到停用功能端点。

  3. 要停用*更改租户根密码*等功能、请向API发送如下正文:

    { "grid": {"changeTenantRootPassword": true} }

    请求完成后、更改租户根密码功能将被禁用。用户界面中不再显示更改租户根密码管理权限、尝试更改租户根密码的任何API请求将失败、并显示"`403 For禁用。`

  4. 要重新激活所有功能,请按如下所示将正文发送到 API :

    { "grid": null }

    此请求完成后、包括更改租户root密码功能在内的所有功能都将重新激活。此时、"更改租户根密码"管理权限将显示在用户界面中、如果用户拥有" root访问"或"更改租户根密码"管理权限、则尝试更改租户根密码的任何API请求都将成功。

    备注 上一示例将重新激活 all 已停用的功能。如果其他功能已停用,而这些功能应保持停用状态,则必须在 PUT 请求中明确指定它们。例如、要重新激活更改租户root密码功能并继续停用警报确认功能、请发送此PUT请求: 
    { "grid": { "alarmAcknowledgment": true } }
相关信息

"使用网格管理API"

修改管理组

您可以修改管理组以更改与该组关联的权限。对于本地管理组、您还可以更新显示名称。

您需要的内容

  • 您必须使用支持的浏览器登录到网格管理器。

  • 您必须具有特定的访问权限。

步骤

  1. 选择*配置访问控制管理组

  2. 选择组。

    如果您的系统包含20个以上的项目、则可以指定一次在每个页面上显示的行数。然后、您可以使用浏览器的"查找"功能在当前显示的行中搜索特定项。

  3. 单击 * 编辑 * 。

  4. M、对于本地组、输入将显示给用户的组名称、例如"维护用户"。

    您不能更改唯一名称、即内部组名称。

  5. 也可以更改组的访问模式。

    • * 读写 * (默认):用户可以更改其管理权限允许的设置并执行这些操作。

    • * 只读 * :用户只能查看设置和功能。他们不能在网格管理器或网格管理 API 中进行任何更改或执行任何操作。本地只读用户可以更改自己的密码。

      备注 如果用户属于多个组,并且任何组设置为 * 只读 * ,则用户将对所有选定设置和功能具有只读访问权限。

  6. 也可以添加或删除组权限。

    请参见有关管理组权限的信息。

  7. 选择 * 保存 * 。

相关信息

管理组权限

删除管理组

如果要从系统中删除某个管理组,则可以删除该组,并删除与该组关联的所有权限。删除管理员组会从该组中删除任何管理员用户、但不会删除这些管理员用户。

您需要的内容

  • 您必须使用支持的浏览器登录到网格管理器。

  • 您必须具有特定的访问权限。

关于此任务

删除组时、分配给该组的用户将丢失对网格管理器的所有访问权限、除非其他组授予了这些用户的权限。

步骤

  1. 选择*配置访问控制管理组

  2. 选择组的名称。

    如果您的系统包含20个以上的项目、则可以指定一次在每个页面上显示的行数。然后、您可以使用浏览器的"查找"功能在当前显示的行中搜索特定项。

  3. 选择 * 删除 * 。

  4. 选择 * 确定 * 。