버킷은 데이터를 위한 컨테이너를 제공하는 논리적 추상화입니다. Cloud Object Storage의 버킷은 IBM Cloud에 작성됩니다. Cloud Object Storage 인스턴스 내에서 정책을 사용하여 사용자의 버킷에 대한 액세스를 제한할 수 있습니다.
작동 방식은 다음과 같습니다.
이 설명에서 두 개의 인증 정보가 Cloud Object Storage 인스턴스와 연관됩니다. 각 인증 정보는 서비스 ID가 액세스할 수 있는 버킷을 제어하기 위해 정책이 정의되는 IAM 서비스 ID를 참조합니다. 프로젝트에 Cloud Object Storage 연결을 추가할 때 특정 인증 정보를 사용하여 해당 인증 정보와 연관된 서비스 ID에 액세스할 수 있는 버킷만 표시할 수 있습니다.
사용자의 버킷에 대한 액세스를 제한하는 연결을 작성하려면 다음 단계를 수행하십시오.
먼저, IBM Cloud에서 다음을 수행하십시오.
-
그런 다음 프로젝트에서 다음을 수행하십시오.
1단계: Cloud Object Storage 인스턴스 및 여러 버킷 작성
IBM Cloud 카탈로그에서 Object Storage를 검색한 후 Cloud Object Storage 인스턴스를 작성하십시오.
탐색 분할창에서 버킷을 선택하십시오.
필요한 만큼 버킷을 작성하십시오.
예를 들어 다음 세 개의 버킷을 작성하십시오. dept1-bucket, dept2-bucket 및 dept3-bucket
2단계: 사용자가 액세스할 수 있는 각 버킷 조합에 대한 서비스 인증 정보 및 서비스 ID 작성
탐색 분할창에서 서비스 인증 정보를 선택하십시오.
새 인증 정보를 클릭하십시오.
새 인증 정보 추가 대화 상자에서 인증 정보의 이름을 제공하고 적절한 액세스 역할을 선택하십시오.
서비스 ID 선택 필드에서 새 서비스 ID 작성을 클릭하십시오.
새 서비스 ID의 이름을 입력하십시오. 쉽게 식별할 수 있또록 인증 정보의 이름과 같거나 비슷한 이름을 사용할 것을 권장합니다.
추가 를 클릭하십시오.
작성할 각 인증 정보에 대해 2단계 - 6단계를 반복하십시오.
예를 들어 다음 세 개의 인증 정보를 작성하십시오. cos-all-access, dept1-dept2-buckets-only 및 dept2-dept3-buckets-only
3단계: 서비스 ID가 작성되었는지 확인
IBM Cloud 페이지 헤더에서 관리 > 액세스 (IAM)를 클릭하십시오.
탐색 분할창에서 서비스 ID를 선택하십시오.
2d와 2e단계에서 작성한 서비스 ID가 표시되는지 확인하십시오.
4단계: 적절한 버킷에 대한 액세스 권한을 제공하도록 각 서비스 ID의 정책 편집
차례로 각 서비스 ID를 여십시오.
액세스 정책 탭의 조치 메뉴에서 편집을 선택하여 정책을 보십시오.
필요한 경우 적절한 버킷에 대한 액세스를 제공하도록 정책을 편집하십시오.
필요에 따라 하나 이상의 새 정책을 작성하십시오.
Cloud Object Storage 인스턴스에서 모든 버킷에 대한 액세스를 제공하는 기존의 기본 정책을 제거하십시오.
액세스 권한 지정 을 클릭하십시오.
자원 유형의 경우, "버킷"을 지정하십시오.
자원 ID의 경우 버킷 이름을 지정하십시오.
역할 선택 섹션의 "플랫폼 액세스 역할 지정" 목록에서 뷰어를 선택하고 "서비스 액세스 역할 지정" 목록에서 작성자를 선택하십시오.
예 1
기본적으로 cos-all-access 서비스 ID에 대한 정책은 Cloud Object Storage 인스턴스에 대한 기록기 액세스 권한을 제공합니다.
이 서비스 ID와 해당 인증 정보가 사용자에게 모든 버킷에 대한 액세스를 제공하기를 원하므로 편집이 필요하지 않습니다.
예제 2
기본적으로 "dept1-dept2-buckets-only" 서비스 ID에 대한 정책은 Cloud Object Storage 인스턴스에 대한 작성자 액세스를 제공합니다. 이 서비스 ID 와 해당 인증 정보가 사용자에게 dept1-bucket 및 dept2-bucket 버킷에 대한 액세스 권한만 제공하기를 원하므로 기본 정책을 제거하고 두 개의 액세스 정책을 작성하십시오. 하나는 dept1-bucket에 대한 정책이고 다른 하나는 dept2-bucket에 대한 정책입니다.
5단계: 작성한 각 서비스 인증 정보에서 값 복사
IBM Cloud 대시보드로 돌아가서 스토리지 목록에서 Cloud Object Storage를 선택하십시오.
탐색 분할창에서 서비스 인증 정보를 선택하십시오.
2단계에서 작성한 서비스 ID중 하나에 대해 신임 정보 보기 조치를 클릭하십시오.
"apikey" 값과 "resource_instance_id" 값을 데스크탑 노트와 같은 임시 위치로 복사합니다.
각 인증 정보에 대해 3 및 4단계를 반복하십시오.
6단계: 엔드포인트 복사
탐색 분할창에서 엔드포인트를 선택하십시오.
연결할 엔드포인트의 URL을 복사하십시오. 데스크탑 노트와 같은 임시 위치에 값을 저장하십시오.
7단계: 작성한 서비스 인증 정보를 사용하는 Cloud Object Storage 연결 추가
자산 탭에서 프로젝트로 돌아가서 새 자산 > 데이터 소스에 연결을 클릭하십시오. 또는 카탈로그에서 프로젝트에 추가 > 연결을 클릭하십시오.
새 연결 페이지에서 Cloud Object Storage를 클릭하십시오.
새 연결의 이름을 지정하고 서비스 신임 정보 중 하나에서 단계 5에서 복사한 "apikey" 및 "resource_instance_id" 값뿐 아니라 로그인 URL(엔드포인트 페이지)을 입력합니다.
각 서비스 인증 정보에 대해 3 - 5단계를 반복하십시오.
연결이 프로젝트의 데이터 자산 섹션에 표시됩니다.
버킷에 대한 사용자의 액세스 권한을 테스트합니다.
앞으로는 프로젝트에 대한 Cloud Object Storage 연결에서 데이터 자산을 추가할 때 정책에서 액세스할 수 있는 버킷만 볼 수 있습니다. 이를 테스트하려면 다음을 수행하십시오.
프로젝트에서 자산 가져오기 > 연결된 데이터를 클릭하십시오. 또는 카탈로그에서 카탈로그에 추가 > 연결된 자산을 클릭하십시오.
연결 소스 섹션에서 소스 선택을 클릭하십시오.
연결 소스 선택 페이지에서 작성한 Cloud Object Storage 연결을 볼 수 있습니다.
Cloud Object Storage 연결 중 하나를 선택하여 해당 버킷의 신임 정보와 연관된 서비스 ID에 액세스할 수 있는 버킷만 볼 수 있는지 확인하십시오.
상위 주제: IBM Cloud Object Storage 연결