為 S3 租用戶建立群組
建議變更
PDF
您可以透過匯入聯合群組或建立本機群組來管理 S3 使用者群組的權限。
-
您已使用"支援的網頁瀏覽器"。
-
您屬於具有"Root存取權限"。
-
如果您計劃匯入聯合群組,則必須"配置身份聯合",且聯合群組已存在於配置的身份來源中。
-
如果您的租用戶帳戶具有「使用網格聯合連線」權限,則您已查看了下列工作流程和注意事項:"克隆租戶群組和用戶" ,您已登入租戶的來源網格。
存取建立群組精靈
第一步,存取建立群組精靈。
-
選擇*存取管理* > 群組。
-
如果您的租用戶帳戶具有*使用網格聯合連線*權限,請確認出現藍色橫幅,表示在此網格上建立的新群組將被複製到連線中另一個網格上的相同租用戶。如果沒有出現此橫幅,您可能已登入租戶的目標網格。
-
選擇*建立群組*。
選擇群組類型
您可以建立本機群組或匯入聯合群組。
-
選擇「本機群組」標籤來建立本機群組,或選擇「聯合群組」標籤來從先前配置的身分來源匯入群組。
如果您的StorageGRID系統啟用了單一登入 (SSO),則屬於本機群組的使用者將無法登入租用戶管理器,但他們可以根據群組權限使用用戶端應用程式來管理租用戶的資源。
-
輸入群組的名稱。
-
本機群組:輸入顯示名稱和唯一名稱。您可以稍後編輯顯示名稱。
如果您的租用戶帳戶具有*使用網格聯合連線*權限,則當目標網格上已存在相同的租用戶*唯一名稱*時,將發生複製錯誤。 -
聯合組:輸入唯一名稱。對於 Active Directory,唯一名稱是與 `sAMAccountName`屬性。對於 OpenLDAP,唯一名稱是與 `uid`屬性。
-
-
選擇*繼續*。
管理群組權限
群組權限控制使用者可以在租用戶管理員和租用戶管理 API 中執行哪些任務。
-
對於*存取模式*,請選擇以下之一:
-
讀寫(預設):使用者可以登入租用戶管理員並管理租用戶設定。
-
只讀:使用者只能查看設定和功能。他們無法在租用戶管理員或租用戶管理 API 中進行任何變更或執行任何操作。本機只讀使用者可以更改自己的密碼。
如果使用者屬於多個群組,並且任何群組設定為唯讀,則該使用者將對所有選定的設定和功能具有唯讀存取權限。
-
-
為此群組選擇一個或多個權限。
看"租用戶管理權限" 。
-
選擇*繼續*。
設定 S3 組策略
群組原則決定使用者將擁有哪些 S3 存取權限。
-
選擇您想要用於該群組的策略。
群組原則 描述 無 S3 存取權限
預設.除非透過儲存桶策略授予存取權限,否則該群組中的使用者無權存取 S3 資源。如果選擇此選項,則預設只有 root 使用者才有權存取 S3 資源。
只讀訪問
此群組中的使用者對 S3 資源具有唯讀存取權限。例如,該群組中的使用者可以列出物件並讀取物件資料、元資料和標籤。選擇此選項時,唯讀群組原則的 JSON 字串將出現在文字方塊中。您無法編輯此字串。
完全存取權限
此群組中的使用者對 S3 資源(包括儲存桶)具有完全存取權限。當您選擇此選項時,完全存取群組原則的 JSON 字串將出現在文字方塊中。您無法編輯此字串。
勒索軟體緩解
此範例策略適用於此租用戶的所有儲存桶。該群組中的使用者可以執行常見操作,但無法從啟用了物件版本控制的儲存桶中永久刪除物件。
擁有「管理所有儲存桶」權限的租用戶管理員使用者可以覆寫此群組原則。將管理所有儲存桶的權限限制為受信任的用戶,並在可用的情況下使用多重身份驗證 (MFA)。
風俗
群組中的使用者被授予您在文字方塊中指定的權限。
-
如果您選擇了*自訂*,請輸入群組原則。每個群組策略的大小限制為 5,120 位元組。您必須輸入有效的 JSON 格式的字串。
有關群組策略的詳細資訊(包括語言語法和範例),請參閱"群組原則範例"。
-
如果您正在建立本機群組,請選擇*繼續*。如果您正在建立聯合群組,請選擇*建立群組*和*完成*。
新增使用者(僅限本地群組)
您可以儲存群組而不新增用戶,也可以選擇新增任何已存在的本機用戶。
|
|
如果您的租用戶帳戶具有 使用網格聯合連接 權限,則在將群組複製到目標網格時,您在來源網格上建立本機群組時選擇的任何使用者都不會包括在內。因此,在創建群組時不要選擇使用者。相反,在建立使用者時選擇群組。 |
-
或者,為此群組選擇一個或多個本機使用者。
-
選擇*建立群組*和*完成*。
您建立的群組將出現在群組清單中。
如果您的租用戶帳戶具有*使用網格聯合連線*權限且您位於租用戶的來源網格上,則新群組將複製到租用戶的目標網格。 成功*在群組詳細資料頁面的概述部分中顯示為*克隆狀態。