Un grupo es una abstracción lógica que proporciona un contenedor para los datos. Los grupos de Cloud Object Storage se crean en IBM Cloud. En una instancia de Cloud Object Storage, puede utilizar políticas para restringir el acceso de los usuarios a los grupos.
Así es como funciona:
En esta ilustración, se asocian dos credenciales con una instancia de Cloud Object Storage. Cada una de las credenciales hace referencia a un ID de servicio IAM en el que se definen las políticas para controlar a qué grupo puede acceder el ID de servicio. Si se utiliza una credencial específica al añadir una conexión de Cloud Object Storage a un proyecto, solo se pueden ver los grupos accesibles para el ID de servicio asociado a esta credencial.
Para crear conexiones que restrinjan el acceso de los usuarios a los grupos, siga estos pasos.
En primer lugar, en IBM Cloud:
Edite las políticas de cada ID de servicio para proporcionar acceso a los grupos adecuados
Copie los valores de cada una de las credenciales de servicio que ha creado
-
A continuación, en el proyecto:
Añada conexiones de Cloud Object Storage que utilicen las credenciales de servicio que ha creado
Paso 1. Crear una instancia de Cloud Object Storage y varios grupos
En el Catálogo de IBM Cloud, busque Object Storage y luego cree una instancia de Cloud Object Storage.
Seleccione Grupos en el panel de navegación.
Cree tantos grupos como necesite.
Por ejemplo, cree tres grupos: dept1-bucket, dept2-bucket y dept3-bucket.
Paso 2. Crear una credencial de servicio y un ID de servicio para cada combinación de grupos a los que desea que los usuarios puedan acceder
Seleccione Credenciales de servicio en el panel de navegación.
Pulse Nueva credencia.
En el diálogo Añadir nueva credencial, especifique un nombre para la credencial y seleccione el rol de acceso adecuado.
En el campo Seleccionar ID de servicio, pulse Crear nuevo ID de servicio.
Especifique un nombre para el nuevo ID de servicio. Se recomienda utilizar el mismo nombre o un nombre similar al de la credencial para facilitar la identificación.
Pulse Añadir.
Repita los pasos del 2 al 6 para cada credencial que desee crear.
Por ejemplo, cree tres credenciales: cos-all-access, dept1-dept2-buckets-only y dept2-dept3-buckets-only.
Paso 3. Verificar que se han creado los ID de servicio
En la cabecera de página de IBM Cloud , pulse Gestionar > Acceso (IAM).
Seleccione ID de servicio en el panel de navegación.
Confirme que los ID de servicio que ha creado en los pasos 2d y 2e son visibles.
Paso 4. Editar las políticas de cada ID de servicio para proporcionar acceso a los grupos adecuados
Abra cada ID de servicio de uno en uno.
En la pestaña Políticas de acceso, seleccione Editar en el menú Acciones para ver la política.
Si es necesario, edite la política para proporcionar acceso a los grupos adecuados.
Si es necesario, cree una o varias políticas nuevas.
Elimine la política predeterminada existente que proporciona acceso a todos los grupos de la instancia de Cloud Object Storage.
Pulse Asignar acceso.
Para Tipo de recurso, especifique "bucket".
Para ID de recurso, especifique un nombre de grupo.
En la sección Seleccionar roles, seleccione Visor en la lista "Asignar roles de acceso a plataforma" y seleccione Escritor en la lista "Asignar roles de acceso de servicio".
Ejemplo 1
De forma predeterminada, la política para el ID de servicio cos-all-access proporciona acceso de Escritor a la instancia de Cloud Object Storage.
Puesto que desea que este ID de servicio y la credencial correspondiente proporcionen a los usuarios acceso a todos los grupos, no es necesario editar nada.
Ejemplo 2
De forma predeterminada, la política para el ID de servicio "dept1-dept2-buckets-only" proporciona acceso de Escritor a la instancia de Cloud Object Storage. Puesto que desea que este ID de servicio y la credencial correspondiente proporcionen a los usuarios acceso solo a los grupos dept1-bucket y dept2-bucket, elimine la política predeterminada y cree dos políticas de acceso, una para dept1-bucket y otra para dept2-bucket.
Paso 5: Copiar los valores de cada una de las credenciales de servicio que ha creado
Vuelva a IBM Cloud Dashboard y seleccione Cloud Object Storage en la lista Almacenamiento.
Seleccione Credenciales de servicio en el panel de navegación.
Pulse la acción Ver credenciales para uno de los ID de servicio que ha creado en el paso 2.
Copie el valor "apikey" y el valor "resource_instance_id" en una ubicación temporal, como por ejemplo una nota de escritorio.
Repita los pasos 3 y 4 para cada credencial.
Paso 6: Copiar el punto final
Seleccione Punto final en el panel de navegación.
Copie el URL del punto final al que desea conectarse. Guarde el valor en una ubicación temporal, como por ejemplo una nota de escritorio.
Paso 7: Añadir conexiones de Cloud Object Storage que utilizan las credenciales de servicio que ha creado
Vuelva al proyecto en la pestaña Activos y pulse Nuevo activo > Conectar a un origen de datos. O desde un catálogo, pulse Añadir a proyecto > Conexión.
En la página Nueva conexión, pulse Cloud Object Storage.
Asigne un nombre a la nueva conexión y especifique el URL de inicio de sesión (desde la página Puntos finales), así como los valores "apikey" y "resource_instance_id" que ha copiado en el paso 5 desde una de las credenciales de servicio.
Repita los pasos del 3 al 5 para cada credencial de servicio.
Las conexiones estarán visibles en la sección Activos de datos del proyecto.
Pruebe el acceso de los usuarios a los grupos
A partir de aquí, cuando añada un activo de datos desde una conexión de Cloud Object Storage a un proyecto, solo verá los paquetes a los que puede acceder según las políticas. Para comprobarlo:
En un proyecto, pulse Importar activos > Datos conectados. O desde un catálogo, pulse Añadir a catálogo > Activo conectado.
En la sección Origen de conexión, pulse Seleccionar origen.
En la página Seleccionar origen de conexión, puede ver las conexiones de Cloud Object Storage que ha creado.
Seleccione una de las conexiones de Cloud Object Storage para ver que solo son visibles los grupos a los que puede acceder el ID de servicio asociado con la credencial de dicho grupo.
Tema principal: ConexiónIBM Cloud Object Storage