管理管理组
您可以创建管理组来管理一个或多个管理员用户的安全权限。用户必须属于要授予对 StorageGRID 系统访问权限的组。
-
您将使用登录到网格管理器 支持的 Web 浏览器。
-
您具有特定的访问权限。
-
如果您计划导入联合组,则表示已配置身份联合,并且已配置的身份源中已存在此联合组。
创建管理组
通过管理组,您可以确定哪些用户可以访问网格管理器和网格管理 API 中的哪些功能和操作。
访问向导
-
选择 * 配置 * > * 访问控制 * > * 管理组 * 。
-
选择 * 创建组 * 。
选择组类型
您可以创建本地组或导入联合组。
-
如果要为本地用户分配权限,请创建本地组。
-
创建联合组以从身份源导入用户。
-
选择 * 本地组 * 。
-
输入组的显示名称,您可以稍后根据需要更新该名称。例如, "
M维护用户
" 或 "`ILM 管理员。` -
输入组的唯一名称,您不能稍后更新。
-
选择 * 继续 * 。
-
选择 * 联合组 * 。
-
输入要导入的组的名称,与此名称在配置的身份源中显示的名称完全相同。
-
对于 Active Directory 和 Azure ,请使用 sAMAccountName 。
-
对于 OpenLDAP ,请使用 CN (公用名)。
-
对于另一个 LDAP ,请为 LDAP 服务器使用适当的唯一名称。
-
-
选择 * 继续 * 。
管理组权限
-
对于 * 访问模式 * ,选择组中的用户是否可以在网格管理器和网格管理 API 中更改设置并执行操作,或者选择他们是否只能查看设置和功能。
-
* 读写 * (默认):用户可以更改其管理权限允许的设置并执行这些操作。
-
* 只读 * :用户只能查看设置和功能。他们不能在网格管理器或网格管理 API 中进行任何更改或执行任何操作。本地只读用户可以更改自己的密码。
如果用户属于多个组,并且任何组设置为 * 只读 * ,则用户将对所有选定设置和功能具有只读访问权限。
-
-
选择一个或多个 组权限。
您必须为每个组至少分配一个权限;否则,属于该组的用户将无法登录到 StorageGRID 。
-
如果要创建本地组,请选择 * 继续 * 。如果要创建联合组,请选择 * 创建组 * 和 * 完成 * 。
添加用户(仅限本地组)
-
或者,为此组选择一个或多个本地用户。
如果尚未创建本地用户,则可以保存此组,而无需添加用户。您可以在用户页面上将此组添加到用户。请参见管理用户 了解详细信息。
-
选择 * 创建组 * 和 * 完成 * 。
查看和编辑管理组
您可以查看现有组的详细信息,修改组或复制组。
-
要查看所有组的基本信息,请查看组页面上的表。
-
要查看特定组的所有详细信息或编辑组,请使用 * 操作 * 菜单或详细信息页面。
任务 操作菜单 详细信息页面 查看组详细信息
-
选中组对应的复选框。
-
选择 * 操作 * > * 查看组详细信息 * 。
在表中选择组名称。
编辑显示名称(仅限本地组)
-
选中组对应的复选框。
-
选择 * 操作 * > * 编辑组名称 * 。
-
输入新名称。
-
选择 * 保存更改 * 。
-
选择组名称以显示详细信息。
-
选择编辑图标 。
-
输入新名称。
-
选择 * 保存更改 * 。
编辑访问模式或权限
-
选中组对应的复选框。
-
选择 * 操作 * > * 查看组详细信息 * 。
-
也可以更改组的访问模式。
-
或者,也可以选择或取消选择 组权限。
-
选择 * 保存更改 * 。
-
选择组名称以显示详细信息。
-
也可以更改组的访问模式。
-
或者,也可以选择或取消选择 组权限。
-
选择 * 保存更改 * 。
-
复制组
-
选中组对应的复选框。
-
选择 * 操作 * > * 复制组 * 。
-
完成复制组向导。
删除组
如果要从系统中删除某个管理组,则可以删除该组,并删除与该组关联的所有权限。删除管理员组会从组中删除任何用户,但不会删除这些用户。
-
在组页面中,选中要删除的每个组对应的复选框。
-
选择 * 操作 * > * 删除组 * 。
-
选择 * 删除组 * 。
组权限
创建管理员用户组时,您可以选择一个或多个权限来控制对网格管理器特定功能的访问。然后,您可以将每个用户分配给一个或多个管理组,以确定用户可以执行的任务。
您必须为每个组至少分配一个权限;否则,属于该组的用户将无法登录到网格管理器或网格管理 API 。
默认情况下,属于至少具有一个权限的组的任何用户均可执行以下任务:
-
登录到网格管理器
-
查看信息板
-
查看节点页面
-
监控网格拓扑
-
查看当前警报和已解决警报
-
查看当前和历史警报(旧系统)
-
更改自己的密码(仅限本地用户)
-
在配置和维护页面上查看特定信息
权限与访问模式之间的交互
对于所有权限,组的 * 访问模式 * 设置将确定用户是否可以更改设置并执行操作,或者是否只能查看相关设置和功能。如果用户属于多个组,并且任何组设置为 * 只读 * ,则用户将对所有选定设置和功能具有只读访问权限。
以下各节介绍了在创建或编辑管理组时可以分配的权限。未明确提及的任何功能都需要具有 * 根访问权限 * 。
root 访问权限
通过此权限,可以访问所有网格管理功能。
确认警报(传统)
此权限可用于确认和响应警报(旧系统)。所有已登录用户均可查看当前和历史警报。
如果您希望用户仅监控网格拓扑并确认警报,则应分配此权限。
更改租户 root 密码
通过此权限,您可以访问租户页面上的 * 更改 root 密码 * 选项,从而可以控制谁可以更改租户的本地 root 用户的密码。启用 S3 密钥导入功能后,此权限也用于迁移 S3 密钥。不具有此权限的用户无法看到 * 更改 root 密码 * 选项。
要授予对包含 * 更改 root 密码 * 选项的租户页面的访问权限,还需要分配 * 租户帐户 * 权限。 |
网格拓扑页面配置
通过此权限,您可以访问 * 支持 * > * 工具 * > * 网格拓扑 * 页面上的配置选项卡。
ILM
通过此权限,您可以访问以下 * ILM * 菜单选项:
-
rules
-
策略
-
纠删编码
-
regions
-
存储池
用户必须具有 * 其他网格配置 * 和 * 网格拓扑页面配置 * 权限才能管理存储级别。 |
维护
用户必须具有维护权限才能使用以下选项:
-
* 配置 * > * 访问控制 * :
-
网格密码
-
-
* 维护 * > * 任务 * :
-
停用
-
扩展
-
对象存在检查
-
恢复
-
-
* 维护 * > * 系统 * :
-
恢复包
-
软件更新
-
-
* 支持 * > * 工具 * :
-
日志
-
没有维护权限的用户可以查看但不能编辑以下页面:
-
* 维护 * > * 网络 * :
-
DNS 服务器
-
网格网络
-
NTP 服务器
-
-
* 维护 * > * 系统 * :
-
许可证
-
-
* 配置 * > * 安全性 * :
-
证书
-
域名
-
-
* 配置 * > * 监控 * :
-
审核和系统日志服务器
-
管理警报
通过此权限,您可以访问用于管理警报的选项。用户必须具有此权限才能管理静音,警报通知和警报规则。
指标查询
通过此权限,您可以访问 * 支持 * > * 工具 * > * 指标 * 页面。通过此权限,还可以使用网格管理 API 的 * 指标 * 部分访问自定义的 Prometheus 指标查询。
对象元数据查找
通过此权限,您可以访问 * ILM * > * 对象元数据查找 * 页面。
其他网格配置
通过此权限可以访问其他网格配置选项。
要查看这些附加选项,用户还必须具有 * 网格拓扑页面配置 * 权限。 |
-
* ILM :
-
存储等级
-
-
* 配置 * > * 网络 * :
-
链路成本
-
-
* 配置 * > * 系统 * :
-
显示选项
-
网格选项
-
存储选项
-
-
* 支持 * > * 警报(传统) * :
-
自定义事件
-
全局警报
-
传统电子邮件设置
-
存储设备管理员
通过此权限,您可以通过网格管理器访问存储设备上的 E 系列 SANtricity 系统管理器。
租户帐户
通过此权限,您可以访问租户页面,在此可以创建,编辑和删除租户帐户。此权限还允许用户查看现有流量分类策略。