简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

为 S3 租户创建组

您可以通过导入联合组或创建本地组来管理 S3 用户组的权限。

您需要什么? #8217 ;将需要什么
  • 您必须使用登录到租户管理器 支持的 Web 浏览器

  • 您必须属于具有 root 访问权限的用户组。请参见 租户管理权限

  • 如果您计划导入联合组,则表示已配置身份联合,并且已配置的身份源中已存在此联合组。

有关 S3 的信息,请参见 使用 S3

步骤
  1. 选择 * 访问管理 * > * 组 * 。

    显示 " 访问控制 ">" 组 " 页面的屏幕截图
  2. 选择 * 创建组 * 。

  3. 选择 * 本地组 * 选项卡以创建本地组,或者选择 * 联合组 * 选项卡以从先前配置的身份源导入组。

    如果为 StorageGRID 系统启用了单点登录( SSO ),则属于本地组的用户将无法登录到租户管理器,但他们可以根据组权限使用客户端应用程序管理租户的资源。

  4. 输入组的名称。

    • * 本地组 * :输入显示名称和唯一名称。您可以稍后编辑显示名称。

    • * 联合组 * :输入唯一名称。对于 Active Directory ,唯一名称是与 sAMAccountName 属性关联的名称。对于 OpenLDAP ,唯一名称是与 uid 属性关联的名称。

  5. 选择 * 继续 * 。

  6. 选择访问模式。如果用户属于多个组,并且任何组设置为只读,则用户将对所有选定设置和功能具有只读访问权限。

    • * 读写 * (默认):用户可以登录到租户管理器并管理租户配置。

    • * 只读 * :用户只能查看设置和功能。他们不能在租户管理器或租户管理 API 中进行任何更改或执行任何操作。本地只读用户可以更改自己的密码。

  7. 选择此组的组权限。

    请参见有关租户管理权限的信息。

  8. 选择 * 继续 * 。

  9. 选择组策略以确定此组的成员将拥有哪些 S3 访问权限。

    • * 无 S3 访问 * :默认值。此组中的用户无权访问 S3 资源,除非使用存储分段策略授予访问权限。如果选择此选项,则默认情况下,只有 root 用户才能访问 S3 资源。

    • * 只读访问 * :此组中的用户对 S3 资源具有只读访问权限。例如,此组中的用户可以列出对象并读取对象数据,元数据和标记。选择此选项后,只读组策略的 JSON 字符串将显示在文本框中。您不能编辑此字符串。

    • * 完全访问 * :此组中的用户对 S3 资源(包括分段)具有完全访问权限。选择此选项后,完全访问组策略的 JSON 字符串将显示在文本框中。您不能编辑此字符串。

    • * 自定义 * :组中的用户将获得您在文本框中指定的权限。有关组策略的详细信息,包括语言语法和示例,请参见实施 S3 客户端应用程序的说明。

  10. 如果选择 * 自定义 * ,请输入组策略。每个组策略的大小限制为 5 , 120 字节。您必须输入有效的 JSON 格式字符串。

    在此示例中,只允许组成员列出和访问指定存储分段中与其用户名(密钥前缀)匹配的文件夹。请注意,在确定其他组策略和存储分段策略的隐私时,应考虑这些文件夹的访问权限。

    将自定义组策略添加到租户组
  11. 根据要创建的是联合组还是本地组,选择显示的按钮:

    • 联合组: * 创建组 *

    • 本地组: * 继续 *

    如果要创建本地组,请在选择 * 继续 * 后显示步骤 4 (添加用户)。对于联合组,不会显示此步骤。

  12. 选中要添加到组的每个用户对应的复选框,然后选择 * 创建组 * 。

    或者,您也可以在不添加用户的情况下保存组。您可以稍后将用户添加到组中,也可以在添加新用户时选择组。

  13. 选择 * 完成 * 。

    您创建的组将显示在组列表中。由于缓存,更改可能需要长达 15 分钟才能生效。