为 S3 租户创建组
建议更改
PDF
您可以通过导入联合组或创建本地组来管理 S3 用户组的权限。
-
您已使用"支持的网络浏览器"。
-
您属于具有"Root访问权限"。
-
如果您计划导入联合组,则必须"配置身份联合",并且联合组已存在于配置的身份源中。
-
如果您的租户帐户具有“使用网格联合连接”权限,则您已查看了以下工作流程和注意事项:"克隆租户组和用户" ,您已登录到租户的源网格。
访问创建组向导
第一步,访问创建组向导。
-
选择*访问管理* > 组。
-
如果您的租户帐户具有*使用网格联合连接*权限,请确认出现蓝色横幅,表示在此网格上创建的新组将被克隆到连接中另一个网格上的同一租户。如果没有出现此横幅,您可能已登录到租户的目标网格。
-
选择*创建群组*。
选择群组类型
您可以创建本地组或导入联合组。
-
选择“本地组”选项卡来创建本地组,或者选择“联合组”选项卡来从先前配置的身份源导入组。
如果您的StorageGRID系统启用了单点登录 (SSO),则属于本地组的用户将无法登录租户管理器,但他们可以根据组权限使用客户端应用程序来管理租户的资源。
-
输入群组的名称。
-
本地组:输入显示名称和唯一名称。您可以稍后编辑显示名称。
如果您的租户帐户具有*使用网格联合连接*权限,则当目标网格上已存在相同的租户*唯一名称*时,将发生克隆错误。 -
联合组:输入唯一名称。对于 Active Directory,唯一名称是与 `sAMAccountName`属性。对于 OpenLDAP,唯一名称是与 `uid`属性。
-
-
选择*继续*。
管理群组权限
组权限控制用户可以在租户管理器和租户管理 API 中执行哪些任务。
-
对于*访问模式*,选择以下之一:
-
读写(默认):用户可以登录租户管理器并管理租户配置。
-
只读:用户只能查看设置和功能。他们无法在租户管理器或租户管理 API 中进行任何更改或执行任何操作。本地只读用户可以更改自己的密码。
如果用户属于多个组,并且任何组设置为只读,则该用户将对所有选定的设置和功能具有只读访问权限。
-
-
为此组选择一个或多个权限。
看"租户管理权限" 。
-
选择*继续*。
设置 S3 组策略
组策略决定用户将拥有哪些 S3 访问权限。
-
选择您想要用于该组的策略。
组策略 描述 无 S3 访问权限
默认。除非通过存储桶策略授予访问权限,否则该组中的用户无权访问 S3 资源。如果选择此选项,则默认情况下只有 root 用户才有权访问 S3 资源。
只读访问
该组中的用户对 S3 资源具有只读访问权限。例如,该组中的用户可以列出对象并读取对象数据、元数据和标签。选择此选项时,只读组策略的 JSON 字符串将出现在文本框中。您无法编辑此字符串。
完全访问
该组中的用户对 S3 资源(包括存储桶)具有完全访问权限。当您选择此选项时,完全访问组策略的 JSON 字符串将出现在文本框中。您无法编辑此字符串。
勒索软件缓解
此示例策略适用于此租户的所有存储桶。该组中的用户可以执行常见操作,但不能从启用了对象版本控制的存储桶中永久删除对象。
拥有“管理所有存储桶”权限的租户管理员用户可以覆盖此组策略。将管理所有存储桶的权限限制为受信任的用户,并在可用的情况下使用多重身份验证 (MFA)。
自定义
组中的用户被授予您在文本框中指定的权限。
-
如果您选择了*自定义*,请输入组策略。每个组策略的大小限制为 5,120 字节。您必须输入有效的 JSON 格式的字符串。
有关组策略的详细信息(包括语言语法和示例),请参阅"组策略示例"。
-
如果您正在创建本地组,请选择*继续*。如果您正在创建联合组,请选择*创建组*和*完成*。
添加用户(仅限本地组)
您可以保存组而不添加用户,也可以选择添加任何已存在的本地用户。
|
|
如果您的租户帐户具有 使用网格联合连接 权限,则在将组克隆到目标网格时,您在源网格上创建本地组时选择的任何用户都不会包括在内。因此,创建组时不要选择用户。相反,在创建用户时选择组。 |
-
或者,为此组选择一个或多个本地用户。
-
选择*创建组*和*完成*。
您创建的群组将出现在群组列表中。
如果您的租户帐户具有*使用网格联合连接*权限并且您位于租户的源网格上,则新组将被克隆到租户的目标网格。 成功*在组详细信息页面的概述部分中显示为*克隆状态。