Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

讓 LDAP 或網域使用者產生自己的 ONTAP S3 存取金鑰

貢獻者 netapp-aaron-holt netapp-bhouser netapp-lenida netapp-manini netapp-dbagwell netapp-barbe netapp-ahibbard netapp-aherbin
PDF

從 ONTAP 9.14.1 開始、身為 ONTAP 管理員、您可以建立自訂角色、並將其授予本機或網域群組或輕量型目錄存取傳輸協定( LDAP )群組、讓屬於這些群組的使用者能夠產生自己的存取權和機密金鑰、以供 S3 用戶端存取。

您必須在儲存 VM 上執行幾個組態步驟,才能建立自訂角色,並將其指派給啟動 API 以產生存取金鑰的使用者。

註 如果 LDAP 被停用,您可以"為ONTAP S3 存取設定外部目錄服務"允許使用者產生存取密鑰。
開始之前

請確認下列事項:

  1. 已建立啟用 S3 的儲存 VM 、其中包含 S3 伺服器。請參閱 "為S3建立SVM"

  2. 該儲存 VM 中已建立一個儲存區。請參閱 "建立儲存庫"

  3. 在儲存 VM 上設定 DNS 。請參閱。 "設定DNS服務"

  4. 儲存 VM 上會安裝 LDAP 伺服器的自我簽署根憑證授權單位( CA )憑證。請參閱。 "在 SVM 上安裝自簽名根 CA 憑證"

  5. LDAP 用戶端在儲存 VM 上設定為啟用 TLS 。請參閱。 "為 ONTAP NFS 存取建立 LDAP 用戶端配置"

  6. 將用戶端組態與虛擬伺服器建立關聯。請參閱。 "將 LDAP 用戶端配置與 ONTAP NFS SVM 關聯""指令參考資料ONTAP"需詳細 `vserver services name-service ldap create`資訊,請參閱。

  7. 如果您使用的是資料儲存 VM 、請在 VM 上建立管理網路介面( LIF )、以及 LIF 的服務原則。深入瞭解 network interface create`及 `network interface service-policy create "指令參考資料ONTAP"

設定使用者以產生存取金鑰

範例 1. 步驟
LDAP 用戶

  1. 將 LDAP 指定為儲存 VM 的名稱服務資料庫 _ 、以用於群組和 LDAP 密碼:

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    "指令參考資料ONTAP"需詳細 `vserver services name-service ns-switch modify`資訊,請參閱。

  2. 建立可存取 S3 使用者 REST API 端點的自訂角色:
    security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type>
    在此範例中 s3-role 角色是針對儲存 VM 上的使用者所產生 svm-1,授予所有存取權限、讀取、建立及更新。

    security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all

    "指令參考資料ONTAP"需詳細 `security login rest-role create`資訊,請參閱。

  3. 使用以下方式建立 LDAP 使用者群組 `security login`命令並新增用於存取 S3 使用者 REST API 端點的新自訂角色。詳細了解 `security login create`在"指令參考資料ONTAP"

    security login create -user-or-group-name <ldap-group-name> -application http -authentication-method nsswitch -role <custom-role-name> -is-ns-switch-group yes

    在此範例中、是 LDAP 群組 ldap-group-1 是在中建立的 svm-1`以及自訂角色 `s3role 新增至 IT 以存取 API 端點、並在快速繫結模式中啟用 LDAP 存取。

    security login create -user-or-group-name ldap-group-1 -application http -authentication-method nsswitch -role s3role -is-ns-switch-group yes -second-authentication-method none -vserver svm-1 -is-ldap-fastbind yes

    如需更多資訊、請參閱 "使用 LDAP 快速綁定對 ONTAP NFS SVM 進行 nsswitch 驗證"

    "指令參考資料ONTAP"需詳細 `security login create`資訊,請參閱。

將自訂角色新增至 LDAP 群組允許該群組中的使用者對ONTAP進行有限的訪問 `/api/protocols/s3/services/{svm.uuid}/users`端點。透過呼叫 API,LDAP 群組使用者可以產生自己的存取金鑰和金鑰來存取 S3 用戶端。他們只能為自己產生密鑰,而不能為其他使用者產生密鑰。

網域用戶

  1. 建立可以存取 S3 使用者 REST API 端點的自訂角色:

security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type>

在此範例中, s3-role`為儲存虛擬機器上的使用者產生角色 `svm-1 ,授予所有存取權限,即讀取、建立和更新。

security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all

"指令參考資料ONTAP"需詳細 `security login rest-role create`資訊,請參閱。

  1. 使用以下方式建立網域使用者群組 `security login`命令並新增用於存取 S3 使用者 REST API 端點的新自訂角色。詳細了解 `security login create`在"指令參考資料ONTAP"

    security login create -vserver <vserver-name> -user-or-group-name domain\<group-name> -application http -authentication-method domain -role <custom-role-name>

    在此範例中,網域組 `domain\group1`創建於 `svm-1`以及自訂角色 `s3role`添加到其中以存取 API 端點。

    security login create -user-or-group-name domain\group1 -application http -authentication-method domain -role s3role -vserver svm-1

    "指令參考資料ONTAP"需詳細 `security login create`資訊,請參閱。

將自訂角色新增至網域群組允許該群組中的使用者對ONTAP進行有限的訪問 `/api/protocols/s3/services/{svm.uuid}/users`端點。透過呼叫 API,網域組使用者可以產生自己的存取金鑰和金鑰來存取 S3 用戶端。他們只能為自己產生密鑰,而不能為其他使用者產生密鑰。

做為 S3 或 LDAP 使用者、產生您自己的存取金鑰

從 ONTAP 9.14.1 開始、如果您的系統管理員已授予您自行產生金鑰的角色、您就可以產生自己的存取權和秘密金鑰、以供存取 S3 用戶端。您只能使用下列 ONTAP REST API 端點自行產生金鑰。

建立 S3 使用者並產生金鑰

此 REST API 呼叫使用下列方法和端點。有關此端點的更多信息,請參閱參考 "API 文件"

HTTP方法 路徑

貼文

/api/protocols / s3/services / { SVM.uuid } / 使用者

對於網域用戶,請使用以下格式作為 S3 使用者名稱: user@fqdn , 在哪裡 `fqdn`是域的完全限定域名。

Curl範例
curl
--request POST \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users " \
--include \
--header "Accept: */*" \
--header "Authorization: Basic $BASIC_AUTH"
--data '{"name":"user1@example.com"}'
Json輸出範例
{
  "records": [
    {
      "access_key": "4KX07KF7ML8YNWY01JWG",
      "_links": {
        "next": {
          "href": "/api/resourcelink"
        },
        "self": {
          "href": "/api/resourcelink"
        }
      },
      "name": "user1@example.com",
      "secret_key": "<secret_key_value>"
    }
  ],
  "num_records": "1"
}
為 S3 使用者重新產生金鑰

如果 S3 使用者已存在,您可以重新產生其存取金鑰和金鑰。此 REST API 呼叫使用下列方法和端點。

HTTP方法 路徑

修補

/api/protocols/s3/services/{svm.uuid}/使用者/{名稱}
Curl範例
curl
--request PATCH \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users/{name} " \
--include \
--header "Authorization: Basic $BASIC_AUTH" \
--data '{"regenerate_keys":"True"}'
Json輸出範例
{
  "records": [
    {
      "access_key": "DX12U609DMRVD8U30Z1M",
      "_links": {
        "self": {
          "href": "/api/resourcelink"
        }
      },
      "name": "user1@example.com",
      "secret_key": "<secret_key_value>"
    }
  ],
  "num_records": "1"
}