为 S3 租户创建组
您可以通过导入联合组或创建本地组来管理 S3 用户组的权限。
-
您必须使用登录到租户管理器 支持的 Web 浏览器。
-
您必须属于具有 root 访问权限的用户组。请参见 租户管理权限。
-
如果您计划导入联合组,则表示已配置身份联合,并且已配置的身份源中已存在此联合组。
有关 S3 的信息,请参见 使用 S3。
-
选择 * 访问管理 * > * 组 * 。
-
选择 * 创建组 * 。
-
选择 * 本地组 * 选项卡以创建本地组,或者选择 * 联合组 * 选项卡以从先前配置的身份源导入组。
如果为 StorageGRID 系统启用了单点登录( SSO ),则属于本地组的用户将无法登录到租户管理器,但他们可以根据组权限使用客户端应用程序管理租户的资源。
-
输入组的名称。
-
* 本地组 * :输入显示名称和唯一名称。您可以稍后编辑显示名称。
-
* 联合组 * :输入唯一名称。对于 Active Directory ,唯一名称是与
sAMAccountName
属性关联的名称。对于 OpenLDAP ,唯一名称是与uid
属性关联的名称。
-
-
选择 * 继续 * 。
-
选择访问模式。如果用户属于多个组,并且任何组设置为只读,则用户将对所有选定设置和功能具有只读访问权限。
-
* 读写 * (默认):用户可以登录到租户管理器并管理租户配置。
-
* 只读 * :用户只能查看设置和功能。他们不能在租户管理器或租户管理 API 中进行任何更改或执行任何操作。本地只读用户可以更改自己的密码。
-
-
选择此组的组权限。
请参见有关租户管理权限的信息。
-
选择 * 继续 * 。
-
选择组策略以确定此组的成员将拥有哪些 S3 访问权限。
-
* 无 S3 访问 * :默认值。此组中的用户无权访问 S3 资源,除非使用存储分段策略授予访问权限。如果选择此选项,则默认情况下,只有 root 用户才能访问 S3 资源。
-
* 只读访问 * :此组中的用户对 S3 资源具有只读访问权限。例如,此组中的用户可以列出对象并读取对象数据,元数据和标记。选择此选项后,只读组策略的 JSON 字符串将显示在文本框中。您不能编辑此字符串。
-
* 完全访问 * :此组中的用户对 S3 资源(包括分段)具有完全访问权限。选择此选项后,完全访问组策略的 JSON 字符串将显示在文本框中。您不能编辑此字符串。
-
* 自定义 * :组中的用户将获得您在文本框中指定的权限。有关组策略的详细信息,包括语言语法和示例,请参见实施 S3 客户端应用程序的说明。
-
-
如果选择 * 自定义 * ,请输入组策略。每个组策略的大小限制为 5 , 120 字节。您必须输入有效的 JSON 格式字符串。
在此示例中,只允许组成员列出和访问指定存储分段中与其用户名(密钥前缀)匹配的文件夹。请注意,在确定其他组策略和存储分段策略的隐私时,应考虑这些文件夹的访问权限。
-
根据要创建的是联合组还是本地组,选择显示的按钮:
-
联合组: * 创建组 *
-
本地组: * 继续 *
如果要创建本地组,请在选择 * 继续 * 后显示步骤 4 (添加用户)。对于联合组,不会显示此步骤。
-
-
选中要添加到组的每个用户对应的复选框,然后选择 * 创建组 * 。
或者,您也可以在不添加用户的情况下保存组。您可以稍后将用户添加到组中,也可以在添加新用户时选择组。
-
选择 * 完成 * 。
您创建的组将显示在组列表中。由于缓存,更改可能需要长达 15 分钟才能生效。