ONTAP 中的 S3 对象存储服务器用户合规性
适用于
- NetApp ONTAP 9.17.1P3 及更高版本
- AFF-A250(以及所有基于 ONTAP 的 S3 对象存储服务器部署)
- ONTAP 中的 S3 对象存储服务器功能
- 用户管理和合规/安全配置
回答
来自客户的问题:
我们最近在 ONTAP 环境中创建了一个 S3 Object Store Server,我们的合规团队已要求澄清几个配置和安全项目。具体来说,对于 S3 Object Store Server 设置中的用户管理,他们希望了解:
- 我们如何获得所有用户的列表?
- 我们如何执行密码复杂性要求,包括:
- 最小密码长度
- 最小字符数
- 最小数字数
- 最小大写字母数
- 最小小写字母数
- 如何强制每 365 天设置一次密码过期时间?
- 在指定次数的登录尝试失败后,我们如何配置帐户锁定?
- 我们如何执行任何其他必要的安全控制措施?
- root 用户的目的是什么,是否可以像 Vserver 中的 vsadmin 帐户锁一样禁用 root 登录访问(ssh、https 等)?
- 如果这些功能不可用,请确认产品中没有这些功能。
提供的答案:
1.如何获取所有用户的列表?
- 对于本地 S3 用户:
使用 ONTAP CLI 命令:object-store-server user show
这将列出对象存储服务器上配置的所有本地 S3 用户。 - 对于 AD 或 LDAP 用户:
用户管理在 Active Directory 或 LDAP 中进行外部处理。您需要查询这些系统。
2.密码复杂性要求(长度、字符、数字等):
- 本地 S3 用户不使用密码。身份验证通过访问和密钥(类似于 AWS S3)进行处理。
- 因此,密码复杂性要求不适用于本地 S3 用户。
- 对于 AD 或 LDAP 用户:
密码复杂性由 ONTAP 外部的 AD/LDAP 策略管理。
参考文献:
3.密码到期(每 365 天):
对于本地 S3 用户,您可以在用户创建或密钥生成期间配置访问/密钥过期。
要重新生成密钥或设置过期时间:
对于 AD/LDAP 用户,密码过期通过 AD/LDAP 策略进行管理。
4.尝试登录失败后锁定账号:
- 本地 S3 用户不可能。
ONTAP S3 实现中没有在登录尝试失败后锁定帐户的功能。 - 对于 AD/LDAP 用户,通过 AD/LDAP 策略管理帐户锁定。
5.其他安全控制措施:
- 对于本地用户,安全控制仅限于:
- 密钥到期/再生
- 通过 S3 组和存储桶策略进行访问控制(非密码控制)
- 创建/修改组
- 创建/修改存储桶策略语句
- 对于 AD/LDAP 用户,其他控件由外部管理。
6.root 用户目的和访问控制:
- 默认情况下,在创建 S3 对象存储服务器时会创建 root 用户,类似于 Linux 系统上的 root。它充当默认管理员角色, 标准用户访问不需要它。
- 默认情况下,root 用户 没有生成访问/密钥——如果需要,必须手动创建这些密钥。
- NetApp 最佳做法:
不要 将 root 用户用于客户端/应用程序访问。任何使用 root 访问/密钥的客户端都可以完全访问所有存储桶和对象。 - 无法为 S3 禁用 root 用户,但它不像 vsadmin 那样提供 SSH/HTTPS 访问。
它严格用于 S3 对象存储服务器管理操作。 - 参考:
创建 ONTAP S3 对象存储服务器
7.功能可用性确认:
- 密码复杂性、过期和帐户锁定功能 不适用于 ONTAP 中的本地 S3 用户。
- 这些功能仅适用于 AD/LDAP 用户,必须进行外部管理。
汇总表
| 功能/要求: | 本地 S3 用户 | AD/LDAP 用户 |
| 密码复杂性 | 不适用 | 在 AD/LDAP 中管理 |
| 密码过期 | 仅限密钥过期时间 | 在 AD/LDAP 中管理 |
| 账户锁定 | 不适用 | 在 AD/LDAP 中管理 |
| 其他安全控制 | 组、存储桶策略、密钥过期 | 在 AD/LDAP 中管理 |
| root 用户访问 | 仅限管理员,无 SSH/HTTPS,必须手动生成密钥 | 不适用 |