エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 ( CA08871-402 )

to English version

LDAPユーザーまたはドメイン ユーザーに対するS3アクセスキー生成の有効化

ONTAP 9.14.1以降では、ONTAP管理者がカスタムロールを作成し、それをローカルグループ、ドメイングループ、またはLightweight Directory Access Protocol(LDAP)グループに割り当てることができます。このようにすると、各グループに所属するユーザーがS3クライアントアクセス用に自身のアクセスキーとシークレットキーを生成できるようになります。

カスタム ロールを作成し、アクセス キー生成APIを呼び出すユーザーに割り当てるには、Storage VMでいくつかの設定手順を実行する必要があります。

開始する前に

以下を確認してください。

  1. S3サーバーを含むS3対応Storage VMが作成済みである。「S3用SVMの作成」を参照してください。

  2. Storage VM内にバケットが作成済みである。「バケットの作成」を参照してください

  3. Storage VMにDNSが設定されている。「DNSサービスの設定」を参照してください。

  4. LDAPサーバーの自己署名されたルート認証局(CA)証明書がStorage VMにインストールされている。「自己署名されたルートCA証明書のSVMへのインストール」を参照してください。

  5. Storage VMにTLSが有効なLDAPクライアントが設定されている。「LDAPクライアント設定の作成」を参照してください。

  6. クライアント設定をSVMに関連付けます。「LDAPクライアント設定とSVMの関連付け」および「vserver services name-service ldap create」を参照してください。

  7. データStorage VMを使用している場合は、管理ネットワーク インターフェイス(LIF)を作成します。また、VM上でLIF用のサービス ポリシーも作成します。network interface createおよびnetwork interface service-policy createの各コマンドのページを参照してください。

アクセス キー生成のためのユーザーの設定

  1. グループ用のStorage VMの ネーム サービス データベース としてLDAPを指定し、LDAPのパスワードを指定します。

    ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
    ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap

    このコマンドの詳細については、vserver services name-service ns-switch modifyコマンドに関するページを参照してください。

  2. S3ユーザーREST APIエンドポイントへのアクセス権を持つカスタム ロールを作成します。
    security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type>
    この例では、Storage VM svm-1上のユーザーに対してs3-roleロールを生成し、読み取り、作成、更新のすべてのアクセス権を付与しています。

    security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all

    このコマンドの詳細については、security login rest-role createコマンドに関するページを参照してください。

  3. security loginコマンドを使用してLDAPユーザー グループを作成し、S3ユーザーREST APIエンドポイントにアクセスするための新しいカスタム ロールを追加します。このコマンドの詳細については、security login createコマンドに関するページを参照してください。

    security login create -user-or-group-name <ldap-group-name> -application http -authentication-method nsswitch -role <custom-role-name> -is-ns-switch-group yes

    この例では、LDAPグループldap-group-1svm-1に作成し、APIエンドポイントにアクセスするためのカスタム ロールs3roleを追加し、高速バインド モードでLDAPアクセスを有効にしています。

    security login create -user-or-group-name ldap-group-1 -application http -authentication-method nsswitch -role s3role -is-ns-switch-group yes -second-authentication-method none -vserver svm-1 -is-ldap-fastbind yes

    詳細については、「nsswitch認証でのLDAP高速バインドの使用」を参照してください。

ドメインまたはLDAPグループにカスタム ロールを追加すると、そのグループのユーザーはONTAP/api/protocols/s3/services/{svm.uuid}/usersエンドポイントに対する制限付きアクセスが許可されます。APIを呼び出すことで、ドメインまたはLDAPグループのユーザーは、S3クライアントにアクセスするための独自のアクセス キーとシークレット キーを生成できます。生成できるのは自分のキーだけで、他のユーザーのキーは生成できません。

S3ユーザーまたはLDAPユーザーによる独自のアクセス キーの生成

ONTAP 9.14.1以降では、独自のキーを生成できるロールが割り当てられているユーザーは、S3クライアントにアクセスするための独自のアクセス キーとシークレット キーを生成できます。次のONTAP REST APIエンドポイントを使用すると、自分専用のキーを生成できます。

HTTPメソッドとエンドポイント

このREST API呼び出しでは、次のメソッドとエンドポイントを使用します。

HTTPメソッド パス

POST

/api/protocols/s3/services/{svm.uuid}/users

Curlの例
curl
--request POST \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users " \
--include \
--header "Accept: */*" \
--header "Authorization: Basic $BASIC_AUTH"
--data '{"name":"_name_"}'
JSON出力例
{
  "records": [
    {
      "access_key": "Pz3SB54G2B_6dsXQPrA5HrTPcf478qoAW6_Xx6qyqZ948AgZ_7YfCf_9nO87YoZmskxx3cq41U2JAH2M3_fs321B4rkzS3a_oC5_8u7D8j_45N8OsBCBPWGD_1d_ccfq",
      "_links": {
        "next": {
          "href": "/api/resourcelink"
        },
        "self": {
          "href": "/api/resourcelink"
        }
      },
      "name": "user-1",
      "secret_key": "A20_tDhC_cux2C2BmtL45bXB_a_Q65c_96FsAcOdo14Az8V31jBKDTc0uCL62Bh559gPB8s9rrn0868QrF38_1dsV2u1_9H2tSf3qQ5xp9NT259C6z_GiZQ883Qn63X1"
    }
  ],
  "num_records": "1"
}
Top of Page