ONTAP 9.14.1以降では、ONTAP管理者がカスタムロールを作成し、それをローカルグループ、ドメイングループ、またはLightweight Directory Access Protocol（LDAP）グループに割り当てることができます。このようにすると、各グループに所属するユーザーがS3クライアントアクセス用に自身のアクセスキーとシークレットキーを生成できるようになります。

開始する前に

以下を確認してください。

S3サーバーを含むS3対応Storage VMが作成済みである。「S3用SVMの作成」を参照してください。
Storage VM内にバケットが作成済みである。「バケットの作成」を参照してください
Storage VMにDNSが設定されている。「DNSサービスの設定」を参照してください。
LDAPサーバーの自己署名されたルート認証局（CA）証明書がStorage VMにインストールされている。「自己署名されたルートCA証明書のSVMへのインストール」を参照してください。
Storage VMにTLSが有効なLDAPクライアントが設定されている。「LDAPクライアント設定の作成」と「LDAPクライアント設定とSVMの関連付け」を参照してください。

アクセスキー生成のためのユーザーの設定

グループ用のStorage VMの ネームサービスデータベース としてLDAPを指定し、LDAPのパスワードを指定します。
```
ns-switch modify -vserver <vserver-name> -database group -sources files,ldap
ns-switch modify -vserver <vserver-name> -database passwd -sources files,ldap
```
このコマンドの詳細については、vserver services name-service ns-switch modifyコマンドに関するページを参照してください。
S3ユーザーREST APIエンドポイントへのアクセス権を持つカスタムロールを作成します。
security login rest-role create -vserver <vserver-name> -role <custom-role-name> -api "/api/protocols/s3/services/*/users" -access <access-type>
この例では、Storage VM svm-1上のユーザーに対してs3-roleロールを生成し、読み取り、作成、更新のすべてのアクセス権を付与しています。
```
security login rest-role create -vserver svm-1 -role s3role -api "/api/protocols/s3/services/*/users" -access all
```
このコマンドの詳細については、security login rest-role createコマンドに関するページを参照してください。
security loginコマンドを使用してLDAPユーザーグループを作成し、S3ユーザーREST APIエンドポイントにアクセスするための新しいカスタムロールを追加します。このコマンドの詳細については、security login createコマンドに関するページを参照してください。
```
security login create -user-or-group-name <ldap-group-name> -application http -authentication-method nsswitch -role <custom-role-name> -is-ns-switch-group yes
```
この例では、LDAPグループldap-group-1をsvm-1に作成し、APIエンドポイントにアクセスするためのカスタムロールs3roleを追加し、高速バインドモードでLDAPアクセスを有効にしています。
```
security login create -user-or-group-name ldap-group-1 -application http -authentication-method nsswitch -role s3role -is-ns-switch-group yes -second-authentication-method none -vserver svm-1 -is-ldap-fastbind yes
```
詳細については、「nsswitch認証でのLDAP高速バインドの使用」を参照してください。

ドメインまたはLDAPグループにカスタムロールを追加すると、そのグループのユーザーはONTAP/api/protocols/s3/services/{svm.uuid}/usersエンドポイントに対する制限付きアクセスが許可されます。APIを呼び出すことで、ドメインまたはLDAPグループのユーザーは、S3クライアントにアクセスするための独自のアクセスキーとシークレットキーを生成できます。生成できるのは自分のキーだけで、他のユーザーのキーは生成できません。

S3ユーザーまたはLDAPユーザーによる独自のアクセスキーの生成

ONTAP 9.14.1以降では、独自のキーを生成できるロールが割り当てられているユーザーは、S3クライアントにアクセスするための独自のアクセスキーとシークレットキーを生成できます。次のONTAP REST APIエンドポイントを使用すると、自分専用のキーを生成できます。

HTTPメソッドとエンドポイント

このREST API呼び出しでは、次のメソッドとエンドポイントを使用します。

HTTPメソッド	パス
POST	/api/protocols/s3/services/{svm.uuid}/users

Curlの例

curl --request POST \
--location "https://$FQDN_IP /api/protocols/s3/services/{svm.uuid}/users " \
--include \
--header "Accept: */*" \
--header "Authorization: Basic $BASIC_AUTH"

JSON出力の例

{
  "records": [
    {
      "access_key": "Pz3SB54G2B_6dsXQPrA5HrTPcf478qoAW6_Xx6qyqZ948AgZ_7YfCf_9nO87YoZmskxx3cq41U2JAH2M3_fs321B4rkzS3a_oC5_8u7D8j_45N8OsBCBPWGD_1d_ccfq",
      "_links": {
        "next": {
          "href": "/api/resourcelink"
        },
        "self": {
          "href": "/api/resourcelink"
        }
      },
      "name": "user-1",
      "secret_key": "A20_tDhC_cux2C2BmtL45bXB_a_Q65c_96FsAcOdo14Az8V31jBKDTc0uCL62Bh559gPB8s9rrn0868QrF38_1dsV2u1_9H2tSf3qQ5xp9NT259C6z_GiZQ883Qn63X1"
    }
  ],
  "num_records": "1"
}

ONTAP 9.14

LDAPユーザーまたはドメインユーザーに対するS3アクセスキー生成の有効化

アクセス キー生成のためのユーザーの設定

S3ユーザーまたはLDAPユーザーによる独自のアクセス キーの生成

アクセスキー生成のためのユーザーの設定

S3ユーザーまたはLDAPユーザーによる独自のアクセスキーの生成