3 Apprentice
•
1.4K メッセージ
0
23
2025年3月6日 08:23
PowerScaleをS3使用時のACLに関して
PowerScaleをS3で使用する際のACLに関して教えてください。
以下の資料を読んでいるのですが、認識があっているかご教授ください。
・S3にはバケットACLとオブジェクとACLがある
・オブジェクトACLに関してはOneFS ACLに従って評価され、オブジェクトACLとしては表記されているだけで
実際のアクセス制御はOneFS ACLに従う形になる。
(SMB/NFSで同じファイルにアクセスする際のNFSから見た際の動作を同じようなイメージ)
・バケットACLに関してはOneFS内のフォルダに設定されているACLとは別物として使われるため、
SMBでフォルダのACLを変更したりしてもバケットACLには影響しない
・逆もしかりでバケットACLを設定してもフォルダのACLには影響しない
イベントは見つかりませんでした!
ayas
Community Manager
•
7.2K メッセージ
0
2025年3月7日 08:03
Mawataraiさん
・S3にはバケットACLとオブジェクとACLがある
⇒ご認識の通りです。(参照②)
・オブジェクトACLに関してはOneFS ACLに従って評価され、オブジェクトACLとしては表記されているだけで実際のアクセス制御はOneFS ACLに従う形になる。
⇒ご認識の通りです。(参照➂)
・バケットACLに関してはOneFS内のフォルダに設定されているACLとは別物として使われるため、SMBでフォルダのACLを変更したりしてもバケットACLには影響しない
⇒ご認識の通り、バケットACLで認証があればそのあとのリクエストに関してはOneFS ACLが機能します。
(参照①)
・逆もしかりでバケットACLを設定してもフォルダのACLには影響しない
⇒バケットACLへの認証が無い場合はアクセスができなくなりますが、設定されているOneFSACL自体への影響はありません。
Dell EMC PowerScale OneFS S3 Overview
①Page17
If the request is to PUT or DELETE an object, OneFS evaluates the request according to the target bucket ACL.
If authorized, OneFS evaluates the request against the OneFS file system ACL. Otherwise, OneFS evaluates the request against OneFS ACL directly.
②Page18
OneFS implements both the bucket ACL and object ACL to control user access. Every bucket and object has an associated ACL.
➂Page19
OneFS always handles permission enforcement based on the OneFS ACL. The object ACL is for representation only.
The object ACL only defines ALLOW ACL, whereas OneFS ACL also defines DENY ACL. When viewing the object ACL through S3,
it is possible that only a subset of the actual ACL is shown.