简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

管理管理组

您可以创建管理组来管理一个或多个管理员用户的安全权限。用户必须属于要授予对 StorageGRID 系统访问权限的组。

您需要什么? #8217 ;将需要什么
  • 您将使用登录到网格管理器 支持的 Web 浏览器

  • 您具有特定的访问权限。

  • 如果您计划导入联合组,则表示已配置身份联合,并且已配置的身份源中已存在此联合组。

创建管理组

通过管理组,您可以确定哪些用户可以访问网格管理器和网格管理 API 中的哪些功能和操作。

访问向导

  1. 选择 * 配置 * > * 访问控制 * > * 管理组 * 。

  2. 选择 * 创建组 * 。

选择组类型

您可以创建本地组或导入联合组。

  • 如果要为本地用户分配权限,请创建本地组。

  • 创建联合组以从身份源导入用户。

本地组
  1. 选择 * 本地组 * 。

  2. 输入组的显示名称,您可以稍后根据需要更新该名称。例如, " M维护用户 " 或 "`ILM 管理员。`

  3. 输入组的唯一名称,您不能稍后更新。

  4. 选择 * 继续 * 。

联合组
  1. 选择 * 联合组 * 。

  2. 输入要导入的组的名称,与此名称在配置的身份源中显示的名称完全相同。

    • 对于 Active Directory 和 Azure ,请使用 sAMAccountName 。

    • 对于 OpenLDAP ,请使用 CN (公用名)。

    • 对于另一个 LDAP ,请为 LDAP 服务器使用适当的唯一名称。

  3. 选择 * 继续 * 。

管理组权限

  1. 对于 * 访问模式 * ,选择组中的用户是否可以在网格管理器和网格管理 API 中更改设置并执行操作,或者选择他们是否只能查看设置和功能。

    • * 读写 * (默认):用户可以更改其管理权限允许的设置并执行这些操作。

    • * 只读 * :用户只能查看设置和功能。他们不能在网格管理器或网格管理 API 中进行任何更改或执行任何操作。本地只读用户可以更改自己的密码。

      注 如果用户属于多个组,并且任何组设置为 * 只读 * ,则用户将对所有选定设置和功能具有只读访问权限。
  2. 选择一个或多个 [Group permissions]

    您必须为每个组至少分配一个权限;否则,属于该组的用户将无法登录到 StorageGRID 。

  3. 如果要创建本地组,请选择 * 继续 * 。如果要创建联合组,请选择 * 创建组 * 和 * 完成 * 。

添加用户(仅限本地组)

  1. 或者,为此组选择一个或多个本地用户。

    如果尚未创建本地用户,则可以保存此组,而无需添加用户。您可以在用户页面上将此组添加到用户。请参见管理用户 了解详细信息。

  2. 选择 * 创建组 * 和 * 完成 * 。

查看和编辑管理组

您可以查看现有组的详细信息,修改组或复制组。

  • 要查看所有组的基本信息,请查看组页面上的表。

  • 要查看特定组的所有详细信息或编辑组,请使用 * 操作 * 菜单或详细信息页面。

    任务 操作菜单 详细信息页面

    查看组详细信息

    1. 选中组对应的复选框。

    2. 选择 * 操作 * > * 查看组详细信息 * 。

    在表中选择组名称。

    编辑显示名称(仅限本地组)

    1. 选中组对应的复选框。

    2. 选择 * 操作 * > * 编辑组名称 * 。

    3. 输入新名称。

    4. 选择 * 保存更改 * 。

    1. 选择组名称以显示详细信息。

    2. 选择编辑图标 编辑图标

    3. 输入新名称。

    4. 选择 * 保存更改 * 。

    编辑访问模式或权限

    1. 选中组对应的复选框。

    2. 选择 * 操作 * > * 查看组详细信息 * 。

    3. 也可以更改组的访问模式。

    4. 或者,也可以选择或取消选择 [Group permissions]

    5. 选择 * 保存更改 * 。

    1. 选择组名称以显示详细信息。

    2. 也可以更改组的访问模式。

    3. 或者,也可以选择或取消选择 [Group permissions]

    4. 选择 * 保存更改 * 。

复制组

  1. 选中组对应的复选框。

  2. 选择 * 操作 * > * 复制组 * 。

  3. 完成复制组向导。

删除组

如果要从系统中删除某个管理组,则可以删除该组,并删除与该组关联的所有权限。删除管理员组会从组中删除任何用户,但不会删除这些用户。

  1. 在组页面中,选中要删除的每个组对应的复选框。

  2. 选择 * 操作 * > * 删除组 * 。

  3. 选择 * 删除组 * 。

组权限

创建管理员用户组时,您可以选择一个或多个权限来控制对网格管理器特定功能的访问。然后,您可以将每个用户分配给一个或多个管理组,以确定用户可以执行的任务。

您必须为每个组至少分配一个权限;否则,属于该组的用户将无法登录到网格管理器或网格管理 API 。

默认情况下,属于至少具有一个权限的组的任何用户均可执行以下任务:

  • 登录到网格管理器

  • 查看信息板

  • 查看节点页面

  • 监控网格拓扑

  • 查看当前警报和已解决警报

  • 查看当前和历史警报(旧系统)

  • 更改自己的密码(仅限本地用户)

  • 在配置和维护页面上查看特定信息

权限与访问模式之间的交互

对于所有权限,组的 * 访问模式 * 设置将确定用户是否可以更改设置并执行操作,或者是否只能查看相关设置和功能。如果用户属于多个组,并且任何组设置为 * 只读 * ,则用户将对所有选定设置和功能具有只读访问权限。

以下各节介绍了在创建或编辑管理组时可以分配的权限。未明确提及的任何功能都需要具有 * 根访问权限 * 。

root 访问权限

通过此权限,可以访问所有网格管理功能。

确认警报(传统)

此权限可用于确认和响应警报(旧系统)。所有已登录用户均可查看当前和历史警报。

如果您希望用户仅监控网格拓扑并确认警报,则应分配此权限。

更改租户 root 密码

通过此权限,您可以访问租户页面上的 * 更改 root 密码 * 选项,从而可以控制谁可以更改租户的本地 root 用户的密码。启用 S3 密钥导入功能后,此权限也用于迁移 S3 密钥。不具有此权限的用户无法看到 * 更改 root 密码 * 选项。

注 要授予对包含 * 更改 root 密码 * 选项的租户页面的访问权限,还需要分配 * 租户帐户 * 权限。

网格拓扑页面配置

通过此权限,您可以访问 * 支持 * > * 工具 * > * 网格拓扑 * 页面上的配置选项卡。

ILM

通过此权限,您可以访问以下 * ILM * 菜单选项:

  • rules

  • 策略

  • 纠删编码

  • regions

  • 存储池

注 用户必须具有 * 其他网格配置 * 和 * 网格拓扑页面配置 * 权限才能管理存储级别。

维护

用户必须具有维护权限才能使用以下选项:

  • * 配置 * > * 访问控制 * :

    • 网格密码

  • * 维护 * > * 任务 * :

    • 停用

    • 扩展

    • 对象存在检查

    • 恢复

  • * 维护 * > * 系统 * :

    • 恢复包

    • 软件更新

  • * 支持 * > * 工具 * :

    • 日志

没有维护权限的用户可以查看但不能编辑以下页面:

  • * 维护 * > * 网络 * :

    • DNS 服务器

    • 网格网络

    • NTP 服务器

  • * 维护 * > * 系统 * :

    • 许可证

  • * 配置 * > * 安全性 * :

    • 证书

    • 域名

  • * 配置 * > * 监控 * :

    • 审核和系统日志服务器

管理警报

通过此权限,您可以访问用于管理警报的选项。用户必须具有此权限才能管理静音,警报通知和警报规则。

指标查询

通过此权限,您可以访问 * 支持 * > * 工具 * > * 指标 * 页面。通过此权限,还可以使用网格管理 API 的 * 指标 * 部分访问自定义的 Prometheus 指标查询。

对象元数据查找

通过此权限,您可以访问 * ILM * > * 对象元数据查找 * 页面。

其他网格配置

通过此权限可以访问其他网格配置选项。

重要 要查看这些附加选项,用户还必须具有 * 网格拓扑页面配置 * 权限。
  • * ILM :

    • 存储等级

  • * 配置 * > * 网络 * :

    • 链路成本

  • * 配置 * > * 系统 * :

    • 显示选项

    • 网格选项

    • 存储选项

  • * 支持 * > * 警报(传统) * :

    • 自定义事件

    • 全局警报

    • 传统电子邮件设置

存储设备管理员

通过此权限,您可以通过网格管理器访问存储设备上的 E 系列 SANtricity 系统管理器。

租户帐户

通过此权限,您可以访问租户页面,在此可以创建,编辑和删除租户帐户。此权限还允许用户查看现有流量分类策略。