メインコンテンツへスキップ

ONTAPにおけるS3オブジェクトストアサーバーのユーザーコンプライアンス

  1. 最後の更新
  2. PDFとして保存
Views:
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
nas
Last Updated:

環境

  • NetApp ONTAP 9.17.1P3以降
  • AFF-A250(およびすべてのONTAPベースのS3オブジェクトストアサーバの展開)
  • ONTAPのS3オブジェクトストアサーバ機能
  • ユーザ管理とコンプライアンス/セキュリティ設定

回答

お客様からの質問:

私たちは最近、ONTAP環境にS3 Object Store Serverを作成しましたが、コンプライアンス チームから、いくつかの構成とセキュリティ項目についての説明を求められました。具体的には、S3 Object Store Serverセットアップ内のユーザー管理について、次の点を知りたいと考えています:

  1. すべてのユーザーのリストを取得するにはどうすればよいでしょうか?
  2. 次のようなパスワードの複雑さの要件をどのように強制できますか:
    • パスワードの最小文字数
    • 最小文字数
    • 最小桁数
    • 大文字の最小数
    • 小文字の最小数
  3. パスワードの有効期限を365日ごとに強制するにはどうすればよいでしょうか?
  4. 指定回数のログイン失敗後にアカウントをロック アウトするように設定するにはどうすればよいですか?
  5. 追加の必要なセキュリティ制御をどのように実施できますか?
  6. rootユーザーの目的は何ですか?また、Vserverのvsadminアカウントロックのように、rootログインアクセス(ssh、httpsなど)を無効にすることはできますか?
  7. これらの機能が利用できない場合は、製品から利用できないことを確認してください。

回答:

1.すべてのユーザーのリストを取得するにはどうすればよいでしょうか?

  • ローカル S3 ユーザーの場合:
    ONTAP CLI コマンドを使用します:
    object-store-server user show
    これにより、オブジェクト ストア サーバーに設定されているすべてのローカル S3 ユーザーが一覧表示されます。
  • AD または LDAP ユーザーの場合:
    ユーザー管理は、Active Directory または LDAP で外部的に処理されます。それらのシステムを照会する必要があります。

2.パスワードの複雑さの要件(長さ、文字数、数字など):

  • ローカルS3ユーザはパスワードを使用しません。認証は、アクセスキーとシークレットキーを使用して処理されます(AWS S3と同様)。
  • したがって、パスワードの複雑さの要件は、ローカルS3ユーザには適用されません。
  • ADまたはLDAPユーザの場合:
    パスワードの複雑さは、ONTAP外部のAD / LDAPポリシーによって管理されます。

参照:

3.パスワードの有効期限(365日ごと):

  • ローカル S3 ユーザーの場合、ユーザーの作成時またはキーの生成時にアクセス キーとシークレット キーの有効期限を設定できます。

  • キーを再生成したり有効期限を設定するには:

  • AD/LDAP ユーザーの場合、パスワードの有効期限は AD/LDAP ポリシーによって管理されます。

4.ログイン失敗後のアカウントロック アウト:

  • ローカルS3ユーザーには利用できません。
    ONTAP S3実装には、ログイン試行に失敗した後にアカウントをロック アウトする機能はありません。
  • AD/LDAPユーザーの場合、アカウント ロックアウトはAD/LDAPポリシーによって管理されます。

5.追加のセキュリティ制御:

6.ルートユーザーの目的とアクセス制御:

  • Linux システムの root と同様に、S3 オブジェクト ストア サーバーの作成時に、デフォルトで root ユーザーが作成されます。これはデフォルトの管理者の役割として機能し、 標準ユーザー アクセスには必要ありません。
  • デフォルトでは、root ユーザーには アクセス キー / シークレット キーが生成されていません。必要に応じて手動で作成する必要があります。
  • NetApp ベスト プラクティス(:)
    クライアント / アプリケーション アクセスには root ユーザーを使用 しないで ください。root のアクセス キー / シークレット キーを使用するクライアントは、すべてのバケットとオブジェクトに完全にアクセスできます。
  • S3 では root ユーザーを無効にすることはできませんが、vsadmin のような SSH / HTTPS アクセスは提供しません。
    これは、S3 オブジェクト ストア サーバーの管理アクション専用です。
  • 参照(:)
    ONTAP S3 オブジェクト ストア サーバーの作成

7.機能の可用性の確認:

  • パスワードの複雑さ、有効期限、アカウントのロック アウト機能は、ONTAP のローカル S3 ユーザーでは 利用できません 。
  • これらの機能は AD/LDAP ユーザーのみが使用でき、外部で管理する必要があります。

 

サマリテーブル

機能/要件: ローカル S3 ユーザ AD/LDAP ユーザー
パスワードの複雑さ 該当なし AD / LDAP で管理
パスワードの有効期限 キーの有効期限のみ AD/LDAPで管理
アカウント ロック アウト 該当なし AD/LDAPで管理
追加のセキュリティコントロール グループ、バケットポリシー、キーの有効期限 AD/LDAPで管理
root ユーザーアクセス 管理者のみ、SSH/HTTPS なし、キーは手動で生成する必要があります 該当なし

追加情報

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.