Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

建立或修改物件存放區伺服器原則

貢獻者
PDF

您可以建立可套用至物件存放區中一或多個儲存區的原則。物件存放區伺服器原則可附加至使用者群組、因此可簡化跨多個資源區的資源存取管理。

開始之前

已啟用S3的SVM必須已存在S3伺服器和儲存區。

關於這項工作

您可以在物件儲存伺服器群組中指定預設或自訂原則、以在SVM層級啟用存取原則。原則只有在群組定義中指定之後才會生效。

註 使用物件儲存伺服器原則時、您可以在群組定義中指定主體(即使用者和群組)、而非在原則本身中指定主體。

有三種唯讀的預設原則可供存取ONTAP 不完整的S3資源:

  • FullAccess

  • NoS3 存取

  • ReadOnlyAccess

您也可以建立新的自訂原則、然後為新使用者和群組新增陳述式、或是修改現有陳述式的屬性。如需更多選項、請參閱 vserver object-store-server policy "命令參考資料"

從 ONTAP 9.9.1 開始、如果您計畫在 ONTAP S3 伺服器上支援 AWS 用戶端物件標記功能、就會執行這些動作 GetObjectTaggingPutObjectTagging`和 `DeleteObjectTagging 需要使用貯體或群組原則來允許。

您遵循的程序取決於您使用的介面- System Manager或CLI:

系統管理員

使用System Manager建立或修改物件存放區伺服器原則

步驟

  1. 編輯儲存虛擬機器:按一下*儲存設備>儲存虛擬機器*、按一下儲存虛擬機器、按一下*設定*、然後按一下 鉛筆圖示 在S3下。

  2. 新增使用者:按一下*原則*、然後按一下*新增*。

    1. 輸入原則名稱、然後從群組清單中選取。

    2. 選取現有的預設原則或新增原則。

      新增或修改群組原則時、您可以指定下列參數:

      • 群組:授予存取權的群組。

      • 效果:允許或拒絕存取一或多個群組。

      • 行動:特定群組的一個或多個儲存桶中允許的行動。

      • 資源:一或多個儲存區內的物件路徑和名稱、這些儲存區已授予或拒絕存取權限。 例如:

        • ***授予對儲存VM中所有儲存區的存取權。

        • * Bucketname*與* Bucketname/*可授予特定儲存區中所有物件的存取權。

        • * Bucketname/readme.txt*可讓您存取特定儲存區中的物件。

    3. 如有需要、請在現有原則中新增陳述式。

CLI

使用CLI建立或修改物件存放區伺服器原則

步驟

  1. 建立物件儲存伺服器原則:

    vserver object-store-server policy create -vserver svm_name -policy policy_name [-comment text]

  2. 建立原則聲明:

    vserver object-store-server policy statement create -vserver svm_name -policy policy_name -effect {allow|deny} -action object_store_actions -resource object_store_resources [-sid text]

    下列參數定義存取權限:

    -effect

    此聲明可能允許或拒絕存取

    -action

    您可以指定 * 表示所有動作、或是下列一或多個動作清單: GetObject, PutObject, DeleteObject, ListBucket,GetBucketAcl, GetObjectAcl, ListAllMyBuckets, ListBucketMultipartUploads,ListMultipartUploadParts

    -resource

    儲存區及其所包含的任何物件。萬用字元 *? 可用於形成用於指定資源的規則運算式。

    您可以選擇性地指定文字字串做為的註解 -sid 選項。

    根據預設、新的對帳單會新增至對帳單清單的結尾、並依順序處理。稍後新增或修改說明時、您可以選擇修改說明 -index 設定以變更處理順序。