Control del acceso a los grupos de Cloud Object Storage

Un grupo es una abstracción lógica que proporciona un contenedor para los datos. Los grupos de Cloud Object Storage se crean en IBM Cloud. En una instancia de Cloud Object Storage, puede utilizar políticas para restringir el acceso de los usuarios a los grupos.

Así es como funciona:

Una instancia de Cloud Object Storage con dos grupos

En esta ilustración, se asocian dos credenciales con una instancia de Cloud Object Storage. Cada una de las credenciales hace referencia a un ID de servicio IAM en el que se definen las políticas para controlar a qué grupo puede acceder el ID de servicio. Si se utiliza una credencial específica al añadir una conexión de Cloud Object Storage a un proyecto, solo se pueden ver los grupos accesibles para el ID de servicio asociado a esta credencial.

Para crear conexiones que restrinjan el acceso de los usuarios a los grupos, siga estos pasos.

En primer lugar, en IBM Cloud:

  1. Cree una instancia de Cloud Object Storage y varios grupos
  2. Cree una credencial de servicio y un ID de servicio para cada combinación de grupos a los que desee que los usuarios puedan acceder
  3. Verifique que se han creado los ID de servicio
  4. Edite las políticas de cada ID de servicio para proporcionar acceso a los grupos adecuados
  5. Copie los valores de cada una de las credenciales de servicio que ha creado
  6. Copie el punto final

A continuación, en Watson Studio:

  1. Añada conexiones de Cloud Object Storage que utilizan las credenciales de servicio que ha creado8. Probar el acceso de los usuarios a los cubos

Paso 1. Crear una instancia de Cloud Object Storage y varios grupos

  1. En el Catálogo de IBM Cloud, busque Object Storage y luego cree una instancia de Cloud Object Storage.

  2. Seleccione Grupos en el panel de navegación.

  3. Cree tantos grupos como necesite.

    Por ejemplo, cree tres grupos: dept1-bucket, dept2-bucket y dept3-bucket.

    Página Grupos

Paso 2. Crear una credencial de servicio y un ID de servicio para cada combinación de grupos a los que desea que los usuarios puedan acceder

  1. Seleccione Credenciales de servicio en el panel de navegación.

  2. Pulse Nueva credencial.

  3. En el diálogo Añadir nueva credencial, especifique un nombre para la credencial y seleccione el rol de acceso adecuado.

  4. En el campo Seleccionar ID de servicio, pulse Crear nuevo ID de servicio.

  5. Especifique un nombre para el nuevo ID de servicio. Se recomienda utilizar el mismo nombre o un nombre similar al de la credencial para facilitar la identificación.

  6. Pulse Añadir.

  7. Repita los pasos del 2 al 6 para cada credencial que desee crear.

    Por ejemplo, cree tres credenciales: cos-all-access, dept1-dept2-buckets-only y dept2-dept3-buckets-only.

    Página de credenciales de servicio

Paso 3. Verificar que se han creado los ID de servicio

  1. En ka cabecera de IBM Cloud en la parte superior de la ventana, pulse Gestionar > Acceso (IAM).

  2. Seleccione ID de servicio en el panel de navegación.

  3. Confirme que los ID de servicio que ha creado en los pasos 2d y 2e son visibles.

    Página de ID de servicio

Paso 4. Editar las políticas de cada ID de servicio para proporcionar acceso a los grupos adecuados

  1. Abra cada ID de servicio de uno en uno.

  2. En la pestaña Políticas de acceso, seleccione Editar en el menú Acciones para ver la política.

  3. Si es necesario, edite la política para proporcionar acceso a los grupos adecuados.

  4. Si es necesario, cree una o varias políticas nuevas.

    1. Elimine la política predeterminada existente que proporciona acceso a todos los grupos de la instancia de Cloud Object Storage.

    2. Pulse Asignar acceso.

    3. Para Tipo de recurso, especifique "bucket".

    4. Para ID de recurso, especifique un nombre de grupo.

    5. En la sección Seleccionar roles, seleccione Visor en la lista "Asignar roles de acceso a plataforma" y seleccione Escritor en la lista "Asignar roles de acceso de servicio".

Ejemplo 1:

De forma predeterminada, la política para el ID de servicio cos-all-access proporciona acceso de Escritor a la instancia de Cloud Object Storage.

Pestaña Políticas de acceso para el ID de servicio cos-all-access

Puesto que desea que este ID de servicio y la credencial correspondiente proporcionen a los usuarios acceso a todos los grupos, no es necesario editar nada.

Editar página de política para el ID de servicio de cos-all-access

Ejemplo 2:

De forma predeterminada, la política para el ID de servicio "dept1-dept2-buckets-only" proporciona acceso de Escritor a la instancia de Cloud Object Storage. Puesto que desea que este ID de servicio y la credencial correspondiente proporcionen a los usuarios acceso solo a los grupos dept1-bucket y dept2-bucket, elimine la política predeterminada y cree dos políticas de acceso, una para dept1-bucket y otra para dept2-bucket.

Pestaña Políticas de acceso para el ID de servicio de dept1-dept2-buckets-only

Página Editar política para el ID de servicio de dept1-bucket-only

Página Editar política para el ID de servicio de dept2-bucket-only

Paso 5: Copiar los valores de cada una de las credenciales de servicio que ha creado

  1. Vuelva a IBM Cloud Dashboard y seleccione Cloud Object Storage en la lista Almacenamiento.

  2. Seleccione Credenciales de servicio en el panel de navegación.

  3. Pulse la acción Ver credenciales para uno de los ID de servicio que ha creado en el paso 2.

  4. Copie el valor "apikey" y el valor "resource_instance_id" en una ubicación temporal, como por ejemplo una nota de escritorio.

    Credencial cos-all-access

    Credencial cos-all-access

  5. Repita los pasos 3 y 4 para cada credencial.

Paso 6: Copiar el punto final

  1. Seleccione Punto final en el panel de navegación.

  2. Copie el URL del punto final al que desea conectarse. Guarde el valor en una ubicación temporal, como por ejemplo una nota de escritorio.

Paso 7: Añadir conexiones de Cloud Object Storage que utilizan las credenciales de servicio que ha creado

{: #add}3. En Watson Studio, desde un proyecto pulse Nuevo activo > Conexión. O desde un catálogo, pulse Añadir al proyecto > Conexión.

  1. En la página Nueva conexión, pulse Cloud Object Storage.

  2. Asigne un nombre a la nueva conexión y especifique el URL de inicio de sesión (desde la página Puntos finales), así como los valores "apikey" y "resource_instance_id" que ha copiado en el paso 5 desde una de las credenciales de servicio.

  3. Repita los pasos del 3 al 5 para cada credencial de servicio.

    Las conexiones estarán visibles en la sección Activos de datos del proyecto.

Pruebe el acceso de los usuarios a los grupos

A partir de aquí, cuando añada un activo de datos desde una conexión de Cloud Object Storage a un proyecto, solo verá los paquetes a los que puede acceder según las políticas. Para comprobarlo:

  1. En un proyecto, pulse Nuevo activo > Datos conectados. O en un catálogo, pulse Añadir al proyecto > Datos conectados.
  1. En la sección Origen de conexión, pulse Seleccionar origen.

    En la página Seleccionar origen de conexión, puede ver las conexiones de Cloud Object Storage que ha creado.

  2. Seleccione una de las conexiones de Cloud Object Storage para ver que solo son visibles los grupos a los que puede acceder el ID de servicio asociado con la credencial de dicho grupo.

Tema principal: Adición de conexiones a proyectos