エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 ( CA08871-402 )

to English version

オブジェクト ストア サーバー ポリシーの作成と変更

オブジェクト ストア内のバケットに適用できるポリシーを作成できます。オブジェクト ストア サーバー ポリシーはユーザーのグループに関連付けることができるため、複数のバケットへのリソース アクセスの管理が簡単になります。

開始する前に

S3サーバーとバケットを含むS3対応のSVMがすでに存在している必要があります。

タスク概要

オブジェクト ストレージ サーバー グループにデフォルトまたはカスタムのポリシーを指定することで、SVMレベルでアクセス ポリシーを有効にすることができます。ポリシーは、グループ定義で指定するまで有効になりません。

オブジェクト ストレージ サーバー ポリシーを使用する場合、プリンシパル(ユーザーとグループ)はポリシーではなくグループ定義に指定します。

ONTAP S3リソースへのアクセスに使用するデフォルトの読み取り専用ポリシーは3つあります。

  • FullAccess

  • NoS3Access

  • ReadOnlyAccess

カスタム ポリシーを新規に作成して新しいユーザーとグループについての新しいステートメントを追加したり、既存のステートメントの属性を変更したりすることもできます。その他のオプションについては、vserver object-store-server policyコマンド リファレンスを参照してください。

ONTAP 9.9.1以降では、ONTAP S3サーバーでAWSクライアント オブジェクトのタグ付け機能をサポートする場合、バケット ポリシーまたはグループ ポリシーを使用してGetObjectTaggingPutObjectTaggingDeleteObjectTaggingの各処理を許可する必要があります。

実行する手順は、ONTAP System ManagerとCLIのどちらのインターフェイスを使用するかによって異なります。

ONTAP System Manager

ONTAP System Managerを使用したオブジェクト ストア サーバー ポリシーの作成と変更

手順
  1. Storage VMを編集します。[ストレージ] > [storage VM]をクリックし、Storage VMをクリックして[設定]をクリックし、[S3]のpencil iconをクリックします。

  2. ユーザーを追加します。[ポリシー]をクリックし、[追加]をクリックします。

    1. ポリシー名を入力し、リストからグループを選択します。

    2. 既存のデフォルト ポリシーを選択するか、新しいポリシーを追加します。

      グループ ポリシーを追加または変更する際には次のパラメーターを指定できます。

      • Group:アクセスを付与するグループ。

      • Effect:1つ以上のグループにアクセスを許可するか拒否するか。

      • Actions:特定のグループに許可する1つ以上のバケット内での処理。

      • Resources:アクセスを許可または拒否する1つ以上のバケット内のオブジェクトのパスと名前。 次に例を示します。

        • *は、Storage VM内のすべてのバケットへのアクセスを許可します。

        • bucketname および bucketname/ */ は、特定のバケット内のすべてのオブジェクトへのアクセスを許可します。

        • bucketname/readme.txtは、特定のバケット内の指定したオブジェクトへのアクセスを許可します。

    3. 必要に応じて、既存のポリシーにステートメントを追加します。

CLI

CLIを使用したオブジェクト ストア サーバー ポリシーの作成と変更

手順
  1. オブジェクト ストレージ サーバー ポリシーを作成します。

    vserver object-store-server policy create -vserver svm_name -policy policy_name [-comment text]

  2. ポリシーのステートメントを作成します。

    vserver object-store-server policy statement create -vserver svm_name -policy policy_name -effect {allow|deny} -action object_store_actions -resource object_store_resources [-sid text]

    次のパラメーターでアクセス権限を定義します。

    -effect

    アクセスを許可するか拒否するかを指定します。

    -action

    次の操作の中から指定します(複数可)。*ですべての操作を指定できます。GetObject, PutObject, DeleteObject, ListBucket,GetBucketAcl, GetObjectAcl, ListAllMyBuckets, ListBucketMultipartUploads,, ListMultipartUploadParts

    -resource

    バケットとバケット内のオブジェクトを指定します。ワイルドカード文字*および?を使用して、正規表現でリソースを指定できます。

    -sidオプションを使用するとテキストをコメントとして指定できます。

    デフォルトでは、新しいステートメントはリストの末尾に追加され、先頭から順に処理されます。ステートメントを追加または変更する際、ステートメントの-index設定を変更して処理順序を変更できます。

Top of Page