0 / 0
Go back to the English version of the documentation
Kontrolowanie dostępu do zasobników Cloud Object Storage
Last updated: 23 cze 2023
Kontrolowanie dostępu do zasobników Cloud Object Storage

Porcja to abstrakcja logiczna, która udostępnia kontener dla danych. Porcje w środowisku Cloud Object Storage są tworzone w IBM Cloud. W instancji Cloud Object Storage można używać strategii w celu ograniczenia dostępu użytkowników do rakiet.

Oto jak to działa:

Instancja Cloud Object Storage z dwoma zasobkami

Na tej ilustracji dwie referencje są powiązane z instancją Cloud Object Storage . Każda z referencji odwołuje się do identyfikatora usługi IAM, w którym zdefiniowano strategie w celu sterowania dostępem do porcji, do której dany identyfikator usługi może uzyskać dostęp. Korzystając z konkretnych informacji autoryzacyjnych podczas dodawania połączenia Cloud Object Storage do projektu, widoczne są tylko te porcje dostępne dla identyfikatora usługi powiązanego z tą referencją.

Aby utworzyć połączenia, które ograniczają dostęp użytkowników do rakiet, wykonaj następujące kroki.

Po pierwsze, w IBM Cloud:

  1. Tworzenie instancji Cloud Object Storage i kilku zasobników

  2. Utwórz referencje usługi i identyfikator usługi dla każdej kombinacji zasobników, do których użytkownicy mają mieć dostęp

  3. Sprawdź, czy identyfikatory usług zostały utworzone

  4. Edytowanie strategii każdego identyfikatora usługi w celu zapewnienia dostępu do odpowiednich zasobników

  5. Skopiuj wartości z każdej utworzonej referencji usługi

  6. Kopiowanie punktu końcowego

    Następnie w projekcie:

  7. Dodaj połączenia Cloud Object Storage , które korzystają z utworzonych referencji usługi

  8. Testowanie dostępu użytkowników do zasobników

Krok 1: Tworzenie instancji Cloud Object Storage i kilku zasobników

  1. W katalogu IBM Cloudwyszukaj pozycję Object Storage(Pamięć obiektu), a następnie utwórz instancję Cloud Object Storage .

  2. W panelu nawigacyjnym wybierz opcję Bukiety .

  3. Stwórz jak najwięcej wiadra, ile potrzeba.

    Na przykład utwórz trzy zasobniki: dept1-bucket, dept2-bucketi dept3-bucket.

    Strona Bukiety

Krok 2: Tworzenie referencji usługi i identyfikatora usługi dla każdej kombinacji zasobników, do których użytkownicy mają mieć dostęp.

  1. W panelu nawigacyjnym wybierz opcję Service credentials (Informacje autoryzacyjne usługi).

  2. Kliknij opcję Nowe informacje autoryzacyjne.

  3. W oknie dialogowym Dodaj nowe informacje autoryzacyjne podaj nazwę informacji autoryzacyjnych i wybierz odpowiednią rolę dostępu.

  4. W polu Wybierz identyfikator usługi kliknij opcję Utwórz nowy identyfikator usługi.

  5. Wprowadź nazwę dla nowego identyfikatora usługi. Zaleca się używanie tej samej lub podobnej nazwy dla informacji autoryzacyjnych w celu łatwej identyfikacji.

  6. Kliknij opcję Dodaj.

  7. Powtórz kroki od 2 do 6 dla każdej referencji, która ma zostać utworzona.

    Na przykład utwórz trzy referencje: cos-all-access, dept1-dept2-buckets-onlyi dept2-dept3-buckets-only.

    Strona informacji autoryzacyjnych usługi

Krok 3: Sprawdź, czy identyfikatory usług zostały utworzone

  1. W nagłówku strony IBM Cloud kliknij opcję Zarządzaj > Dostęp (IAM).

  2. W panelu nawigacyjnym wybierz opcję Service IDs (Identyfikatory usług).

  3. Upewnij się, że identyfikatory usług utworzone w krokach 2d i 2e są widoczne.

    Strona Identyfikatory usług

Krok 4: Edycja strategii każdego identyfikatora usługi w celu zapewnienia dostępu do odpowiednich zasobników

  1. Otwórz każdy identyfikator usługi z kolei.

  2. Na karcie Strategie dostępu wybierz opcję Edytuj z menu Działania, aby wyświetlić strategię.

  3. W razie potrzeby edytuj strategię, aby zapewnić dostęp do odpowiednich zasobników.

  4. W razie potrzeby utwórz jedną lub więcej nowych strategii.

    1. Usuń istniejącą, domyślną strategię, która zapewnia dostęp do wszystkich zasobników w instancji Cloud Object Storage .

    2. Kliknij opcję Przypisz dostęp.

    3. W polu Resource type(Typ zasobu) określ "bucket".

    4. W polu Identyfikator zasobupodaj nazwę porcji.

    5. W sekcji Wybierz role wybierz opcję Przeglądarka z listy "Przypisz role dostępu platformy" i wybierz pozycję Program piszący z listy "Przypisz role dostępu do usługi".

Przykład 1

Domyślnie strategia dla identyfikatora usługi all-all-access umożliwia programowi piszący dostęp do instancji Cloud Object Storage .

Karta Strategie dostępu dla usługi cos-all-access ID

Ponieważ ten identyfikator usługi i odpowiednie informacje autoryzacyjne mają udostępniać użytkownikom dostęp do wszystkich zasobników, nie są wymagane żadne modyfikacje.

Edytuj stronę strategii dla identyfikatora usługi dla wszystkich użytkowników

Przykład 2

Domyślnie strategia dla identyfikatora usługi "dept1-dept2-buckets-only" umożliwia programowi piszący dostęp do instancji Cloud Object Storage . Ponieważ ten identyfikator usługi i odpowiednie informacje autoryzacyjne mają zapewnić użytkownikom dostęp tylko do zasobników dept1-bucket i dept2-bucket , należy usunąć strategię domyślną i utworzyć dwie strategie dostępu, jedną dla dept1-bucket i jedną dla dept2-bucket.

Karta Strategie dostępu dla usługi dept1-dept2-buckets-only

Strona Edytuj strategię dla usługi dept1-bucket-only

Strona Edytuj strategię dla identyfikatora usługi dept2-bucket-only

Krok 5: Kopiowanie wartości z każdego utworzonego przez użytkownika referencji usługi

  1. Wróć do panelu kontrolnego IBM Cloud i wybierz opcję Cloud Object Storage z listy Pamięć masowa .

  2. W panelu nawigacyjnym wybierz opcję Service credentials (Informacje autoryzacyjne usługi).

  3. Kliknij działanie Wyświetl informacje autoryzacyjne dla jednego z identyfikatorów usług, które zostały utworzone w kroku 2.

  4. Skopiuj wartość "apikey" i wartość "resource_instance_id" do położenia tymczasowego, takiego jak notatka pulpitu.

    cos-all-access referencja

    cos-all-access referencja

  5. Powtórz kroki 3 i 4 dla każdej referencji.

Krok 6: Kopiowanie punktu końcowego

  1. W panelu nawigacyjnym wybierz opcję Punkt końcowy .

  2. Skopiuj adres URL punktu końcowego, z którym ma zostać nawiązane połączenie. Zapisz wartość w położeniu tymczasowym, takim jak uwaga na pulpit.

Krok 7: dodawanie połączeń Cloud Object Storage , które korzystają z utworzonych referencji usługi

  1. Wróć do projektu na karcie Zasoby aplikacyjne , a następnie kliknij opcję Nowy zasób > Połączenie. Lub z katalogu, kliknij opcję Dodaj do projektu > Połączenie.

  2. Na stronie Nowa połączenie kliknij opcję Cloud Object Storage.

  3. Nazwij nowe połączenie i wprowadź adres URL logowania (ze strony Punkty końcowe), a także wartości "apikey" i "resource_instance_id", które zostały skopiowane w kroku 5 z jednej z referencji usługi.

  4. Powtórz kroki od 3 do 5 dla każdej referencji usługi.

    Połączenia będą widoczne w sekcji zasobów danych projektu.

Testowanie dostępu użytkowników do zasobników

Przechodnie do przodu, po dodaniu zasobu danych z połączenia Cloud Object Storage do projektu, widoczne będą tylko te porcje, do których strategie te pozwalają na dostęp. Aby przetestować tę wartość:

  1. W projekcie kliknij opcję Nowy zasób > Połączone dane. Lub z katalogu, kliknij opcję Dodaj do projektu > Połączone dane.

  2. W sekcji Źródło połączenia kliknij opcję Wybierz źródło.

    Na stronie Wybór źródła połączenia można wyświetlić utworzone połączenia Cloud Object Storage .

  3. Wybierz jedną z połączeń Cloud Object Storage , aby zobaczyć, że widoczne są tylko te porcje dostępne dla identyfikatora usługi powiązanego z informacjami autoryzacyjnymi tego zasobnika.

Temat nadrzędny: Dodawanie połączeń do projektów