一度に 1 つのバケットを共有できます。
バケットを共有するには、アクセス コントロール リストまたはバケット ポリシーを使用します。
アクセス コントロール リストを使用すると、バケットとバケットを使用するオブジェクトをきめ細かく制御できます。アクセス コントロール リストを使用してバケットを共有するには、組み込みの既定のアクセス コントロール リストを使用するか、カスタム アクセス コントロール リストを作成して、バケットのアクセス権限を編集します。
バケット ポリシーを使用すると、バケットをグローバルに制御できます。これらはバケットにのみ割り当てることができ、バケット内のオブジェクトには割り当てることができません。
アクセス コントロール リスト
アクセス コントロール リストを使用して、バケットへのアクセスを管理します。
- 既定のアクセス コントロール リストは事前定義されています。
- カスタム アクセス コントロール リストは、必要に応じて変更できます。
| ユーザー ロール | 実行できること |
|---|---|
| 組織管理者 | 組織内のユーザーが所有するバケットを共有します。 |
| 組織ユーザー | 自分が所有するバケットを共有します。 |
- そうでない場合は、所有者がバケットに対する次の権限セットのいずれかをユーザー アカウントに割り当てる必要があります。
- バケットの読み取り、バケットの書き込み 、ACL の読み取り、および ACL の書き込み
- バケットの読み取り、ACL の読み取り、および ACL の書き込み
- 完全コントロール
既定のアクセス コントロール リストを使用したバケットの共有
既定のアクセス コントロール リストは、バケットを組織内で共有したり、インターネット経由で公開したりするために使用できる、事前定義済みで組み込みのアクセス コントロール リストです。
手順
- VMware Cloud Director tenant portal にログインします。
- プライマリの左側ナビゲーション パネルの [詳細] で、[オブジェクト ストレージ] を選択します。
- [バケット] ペインで、共有するバケットの名前をクリックします。
- [権限] タブで、[既定の ACL の設定] をクリックします。
- バケットの既定のアクセス コントロール リスト名を選択し、[ACL の設定] をクリックします。
オプション 説明 プライベート バケットにアクセスできるのは、バケットの所有者と組織管理者のみです。 パブリック読み取り バケットに対する読み取りの権限をすべてのユーザーに付与します。 パブリック読み取り/書き込み バケットに対する読み取りと書き込みの権限をすべてのユーザーに付与します。 認証されたユーザーの読み取り すべての認証済み VMware Cloud Director ユーザーに読み取り権限を付与します。 テナント読み取り バケットに対する読み取りの権限を VMware Cloud Director 組織内のすべてのユーザーに付与します。 ECS ストレージ プラットフォームを使用する場合、このオプションは使用できません。
AWS S3 を使用する場合、このオプションは使用できません。
テナントの読み取り/書き込み バケットに対する読み取りと書き取りの権限を VMware Cloud Director 組織内のすべてのユーザーに付与します。 ECS または AWS S3 を使用する場合、このオプションは使用できません。
システム ロガー バケット ログを書き込むために、VMware Cloud Director Object Storage Extension はシステム ロガー アカウントを使用します。ログ作成のターゲット バケットに対するシステム ロガー アカウントの権限を変更すると、バケット ログの書き込みに失敗することがあります。詳細については、「バケット ログ」を参照してください。 ECS ストレージ プラットフォームを使用する場合、このオプションは使用できません。
カスタム アクセス コントロール リストを使用したバケットの共有
カスタム アクセス コントロール リストを作成することで、組織内のユーザーとバケットを共有できます。
| オプション | 説明 |
|---|---|
| 完全コントロール | バケットに対する読み取りおよび書き込みの権限と、バケットのアクセス コントロール リストに対する読み取りと書き込みの権限を付与します。 |
| バケットの読み取り | バケットに対する読み取りの権限を付与します。 |
| バケットの書き込み | バケットに対する書き込みの権限を付与します。 |
| ACL の読み取り | バケットのアクセス コントロール リストに対する読み取りの権限を付与します。 |
| ACL の書き込み | バケットのアクセス コントロール リストに対する書き込みの権限を付与します。 |
手順
- VMware Cloud Director tenant portal にログインします。
- プライマリの左側ナビゲーション パネルの [詳細] で、[オブジェクト ストレージ] を選択します。
- [バケット] ペインで、共有するバケットの名前をクリックします。
- [権限] タブで [編集] をクリックします。
- バケットに対して必要な権限のセットを構成し、[保存] をクリックします。
- テナント組織のユーザーとバケットを共有するには、[テナント ユーザー] 行のトグル ボタンを使用します。
ECS ストレージ プラットフォームを使用する場合、このオプションは使用できません。
- すべてのテナント組織の認証ユーザーとバケットを共有するには、[認証済みユーザー] 行のトグル ボタンを使用します。
- すべてのユーザーとバケットを共有するには、[パブリック] 行のトグル ボタンを使用します。
- 組織内の特定のユーザーとバケットを共有するには、[ユーザーを追加] ボタンをクリックし、ユーザーを選択して、対応する行のトグル ボタンを使用します。
- バケット ログを書き込むために、VMware Cloud Director Object Storage Extension はシステム ロガー アカウントを使用します。ログ作成のターゲット バケットに対するシステム ロガー アカウントの権限を変更すると、バケット ログの書き込みに失敗することがあります。詳細については、「バケット ログ」を参照してください。
ECS ストレージ プラットフォームを使用する場合、このオプションは使用できません。
- テナント組織のユーザーとバケットを共有するには、[テナント ユーザー] 行のトグル ボタンを使用します。
バケット ポリシー
バケット ポリシーを使用して、バケット内のリソースに対するアクションを許可または拒否します。また、ポリシー内で条件を定義することもできます。
バケットとその中のオブジェクトへのアクセス権限を付与するには、バケット ポリシーを使用します。バケット ポリシーは、不正アクセスからバケットを保護するための重要な要素です。
バケット ポリシーはポリシー ステートメントで構成され、20 KB のサイズに制限されます。バケットごとに 1 つのポリシーを作成できますが、1 つのポリシーに複数のステートメントを追加できます。
バケット ポリシーは JSON ベースの言語を使用します。Amazon S3 のポリシーと権限を参照してください。
VMware Cloud Director Object Storage Extension には、JSON エディタの代わりに使用できるポリシー エディタが用意されています。
バケットの所有者のみがバケット ポリシーを作成および編集できます。
バケット ポリシーの作成
バケット ポリシーを作成するには、バケット内のオブジェクトにアクセスするためのルールと条件を定義します。
前提条件
手順
- VMware Cloud Director tenant portal にログインします。
- プライマリの左側ナビゲーション パネルの [詳細] で、[オブジェクト ストレージ] を選択します。
- [バケット] ペインで、編集するバケットの名前をクリックします。
- [権限] タブで、バケット ポリシー領域のテキストをクリックします。
- ポリシーの詳細を入力し、[保存] をクリックします。
- ポリシー エディタを使用して、ポリシーの ID、影響、設定、および条件を入力できます。
- JSON エディタを使用して、ポリシー ステートメントを入力できます。
- パブリック読み取り または パブリック読み取り/書き込み ポリシーを作成するには、それぞれのショートカットをクリックします。
