バケットの共有
一度に 1 つのバケットを共有できます。
バケットを共有するには、アクセス コントロール リストまたはバケット ポリシーを使用します。
アクセス コントロール リストを使用すると、バケットとバケットを使用するオブジェクトをきめ細かく制御できます。アクセス コントロール リストを使用してバケットを共有するには、組み込みの既定のアクセス コントロール リストを使用するか、カスタム アクセス コントロール リストを作成して、バケットのアクセス権限を編集します。
バケット ポリシーを使用すると、バケットをグローバルに制御できます。これらはバケットにのみ割り当てることができ、バケット内のオブジェクトには割り当てることができません。
アクセス コントロール リスト
アクセス コントロール リストを使用して、バケットへのアクセスを管理します。
アクセス コントロール リストを使用して、バケットへのアクセスを許可できます。アクセス コントロール リストは、バケットにアクセスできるユーザーとそのユーザーのアクセス レベルを定義します。2 種類のアクセス コントロール リストがあります。
- 既定のアクセス コントロール リストは事前定義されています。
- カスタム アクセス コントロール リストは、必要に応じて変更できます。
アクセス コントロール リストを使用してバケットを共有する前に、必要な権限のセットがあることを確認する必要があります。
ユーザー ロール | 実行できること |
|---|---|
組織管理者 | 組織内のユーザーが所有するバケットを共有します。 |
組織ユーザー | 自分が所有するバケットを共有します。 |
- そうでない場合は、所有者がバケットに対する次の権限セットのいずれかをユーザー アカウントに割り当てる必要があります。
- バケットの読み取り、バケットの書き込み、ACL の読み取り、およびACL の書き込み
- バケットの読み取り、ACL の読み取り、およびACL の書き込み
- 完全コントロール
既定のアクセス コントロール リストを使用したバケットの共有
既定のアクセス コントロール リストは、バケットを組織内で共有したり、インターネット経由で公開したりするために使用できる、事前定義済みで組み込みのアクセス コントロール リストです。
既定のアクセス コントロール リストをバケットに設定すると、バケットの既存の権限構成が上書きされます。
- VMware Cloud Director テナント ポータルにログインします。
- プライマリの左側ナビゲーション パネルの詳細で、オブジェクト ストレージを選択します。
- バケットペインで、共有するバケットの名前をクリックします。
- 権限タブで、既定の ACL の設定をクリックします。
- バケットの既定のアクセス コントロール リスト名を選択し、ACL の設定をクリックします。プライベートバケットにアクセスできるのは、バケットの所有者と組織管理者のみです。パブリック読み取りバケットに対する読み取りの権限をすべてのユーザーに付与します。パブリック読み取り/書き込みバケットに対する読み取りと書き込みの権限をすべてのユーザーに付与します。認証されたユーザーの読み取りすべての認証済みVMware Cloud Directorユーザーに読み取り権限を付与します。テナント読み取りバケットに対する読み取りの権限をVMware Cloud Director組織内のすべてのユーザーに付与します。ECSストレージ プラットフォームを使用する場合、このオプションは使用できません。AWS S3を使用する場合、このオプションは使用できません。テナントの読み取り/書き込みバケットに対する読み取りと書き取りの権限をVMware Cloud Director組織内のすべてのユーザーに付与します。ECSまたはAWS S3を使用する場合、このオプションは使用できません。システム ロガーバケット ログを書き込むために、VMware Cloud Director Object Storage Extensionはシステム ロガー アカウントを使用します。ログ作成のターゲット バケットに対するシステム ロガー アカウントの権限を変更すると、バケット ログの書き込みに失敗することがあります。詳細については、「バケット ログ」を参照してください。ECSストレージ プラットフォームを使用する場合、このオプションは使用できません。
カスタム アクセス コントロール リストを使用したバケットの共有
カスタム アクセス コントロール リストを作成することで、組織内のユーザーとバケットを共有できます。
次の表では、使用可能なアクセス コントロール リストのオプションについて説明します。
オプション | 説明 |
|---|---|
完全コントロール | バケットに対する 読み取り および書き込み の権限と、バケットのアクセス コントロール リストに対する読み取り と書き込み の権限を付与します。 |
バケットの読み取り | バケットに対する 読み取り の権限を付与します。 |
バケットの書き込み | バケットに対する 書き込み の権限を付与します。 |
ACL の読み取り | バケットのアクセス コントロール リストに対する 読み取り の権限を付与します。 |
ACL の書き込み | バケットのアクセス コントロール リストに対する 書き込み の権限を付与します。 |
- VMware Cloud Director テナント ポータルにログインします。
- プライマリの左側ナビゲーション パネルの詳細で、オブジェクト ストレージを選択します。
- バケットペインで、共有するバケットの名前をクリックします。
- 権限タブで編集をクリックします。
- バケットに対して必要な権限のセットを構成し、保存をクリックします。
- テナント組織のユーザーとバケットを共有するには、テナント ユーザー行のトグル ボタンを使用します。ECSストレージ プラットフォームを使用する場合、このオプションは使用できません。
- すべてのテナント組織の認証ユーザーとバケットを共有するには、認証済みユーザー行のトグル ボタンを使用します。
- すべてのユーザーとバケットを共有するには、パブリック行のトグル ボタンを使用します。
- 組織内の特定のユーザーとバケットを共有するには、ユーザーを追加ボタンをクリックし、ユーザーを選択して、対応する行のトグル ボタンを使用します。
- バケット ログを書き込むために、VMware Cloud Director Object Storage Extensionはシステム ロガー アカウントを使用します。ログ作成のターゲット バケットに対するシステム ロガー アカウントの権限を変更すると、バケット ログの書き込みに失敗することがあります。詳細については、「バケット ログ」を参照してください。ECSストレージ プラットフォームを使用する場合、このオプションは使用できません。
バケット ポリシー
バケット ポリシーを使用して、バケット内のリソースに対するアクションを許可または拒否します。また、ポリシー内で条件を定義することもできます。
バケットとその中のオブジェクトへのアクセス権限を付与するには、バケット ポリシーを使用します。バケット ポリシーは、不正アクセスからバケットを保護するための重要な要素です。
バケット ポリシーはポリシー ステートメントで構成され、20 KB のサイズに制限されます。バケットごとに 1 つのポリシーを作成できますが、1 つのポリシーに複数のステートメントを追加できます。
バケット ポリシーは JSON ベースの言語を使用します。Amazon S3 のポリシーと権限を参照してください。
VMware Cloud Director Object Storage Extension
には、JSON エディタの代わりに使用できるポリシー エディタが用意されています。バケットの所有者のみがバケット ポリシーを作成および編集できます。
バケット ポリシーの作成
バケット ポリシーを作成するには、バケット内のオブジェクトにアクセスするためのルールと条件を定義します。
バケット ポリシーを作成するには、バケットの所有者である必要があります。
- VMware Cloud Director テナント ポータルにログインします。
- プライマリの左側ナビゲーション パネルの詳細で、オブジェクト ストレージを選択します。
- バケットペインで、編集するバケットの名前をクリックします。
- 権限タブで、バケット ポリシー領域のテキストをクリックします。
- ポリシーの詳細を入力し、保存をクリックします。
- ポリシー エディタを使用して、ポリシーの ID、影響、設定、および条件を入力できます。
- JSON エディタを使用して、ポリシー ステートメントを入力できます。
- パブリック読み取りまたはパブリック読み取り/書き込みポリシーを作成するには、それぞれのショートカットをクリックします。