0 / 0
Retourner à la version anglaise de la documentation
Contrôle de l'accès aux compartiments Cloud Object Storage
Contrôle de l'accès aux compartiments Cloud Object Storage

Contrôle de l'accès aux compartiments Cloud Object Storage

Un compartiment est une abstraction logique qui fournit un conteneur pour les données. Les compartiments Cloud Object Storage sont créés dans IBM. Dans une instance Cloud Object Storage, vous pouvez utiliser des règles pour restreindre l'accès des utilisateurs à des compartiments.

En voici le fonctionnement :

Une instance Cloud Object Storage avec deux compartiments

Dans cette illustration, deux données d'identification sont associées à une instance Cloud Object Storage. Chacune d'elles fait référence à un ID de service IAM dans lequel des stratégies sont définies pour contrôler le compartiment auquel cet ID peut avoir accès. Lorsque vous utilisez une donnée de ce type lors de l'ajout d'une connexion Cloud Object Storage à un projet, seuls les compartiments accessibles pour l'ID de service associé à celle-ci sont visibles.

Pour créer des connexions qui restreignent l'accès des utilisateurs à des compartiments, procédez comme suit.

Tout d'abord, dans IBM Cloud :

  1. Création d'une instance Cloud Object Storage et de plusieurs compartiments
  2. Création d'une donnée d'identification de service et d'un ID de service pour chaque combinaison de compartiments que vous souhaitez rendre accessibles aux utilisateurs
  3. Vérification que les ID de service ont été créés
  4. Edition des stratégies de chaque ID de service pour fournir l'accès aux compartiments appropriés
  5. Copie des valeurs de chacune des données d'identification que vous avez créées
  6. Copie du point d'extrémité

Ensuite, dans Watson Studio :

  1. Ajout de connexions Cloud Object Storage qui utilisent les données d'identification de service que vous avez créées
  2. Test de l'accès des utilisateurs à des compartiments

Etape 1 : Création d'une instance Cloud Object Storage et de plusieurs compartiments

  1. A partir du catalogue IBM Cloud, recherchez Object Storage et créez ensuite une instance Cloud Object Storage.

  2. Sélectionnez Compartiments dans le panneau de navigation.

  3. Créez autant de compartiments que nécessaire.

    Par exemple, créez-en trois : dept1-bucket, dept2-bucket et dept3-bucket.

    Page Compartiments

Etape 2 : Création d'une donnée d'identification de service et d'un ID de service pour chaque combinaison de compartiments que vous souhaitez rendre accessibles aux utilisateurs

  1. Sélectionnez Données d'identification dans le panneau de navigation.

  2. Cliquez sur New Credential.

  3. Dans la boîte de dialogue Add new credential, indiquez le nom de la donnée d'identification et sélectionnez le rôle d'accès approprié.

  4. Dans la zone Sélectionner un ID de service, cliquez sur Créer un nouvel ID de service.

  5. Indiquez le nom du nouvel ID de service. Il est conseillé d'utiliser le même nom que la donnée d'identification ou un nom similaire pour en faciliter l'identification.

  6. Cliquez sur Ajouter.

  7. Répétez les étapes 2 à 6 pour chaque donnée d'identification que vous souhaitez créer.

    Par exemple, créez trois données d'identification : cos-all-access, dept1-dept2-buckets-only et dept2-dept3-buckets-only.

    Page Données d'identification du service

Etape 3 : Vérification que les ID de service ont été créés

  1. Dans la bannière IBM Cloud située en haut de la fenêtre, cliquez sur Gérer > Accès (IAM).

  2. Sélectionnez ID de service dans le panneau de navigation.

  3. Vérifiez que les ID de service que vous avez créés aux étapes 2d et 2e sont visibles.

    Page ID de service

Etape 4 : Edition des stratégies de chaque ID de service pour fournir l'accès aux compartiments appropriés

  1. Ouvrez successivement tous les ID de service.

  2. Dans l'onglet Règles d'accès, sélectionnez Éditer dans le menu Actions pour afficher la règle.

  3. Si nécessaire, éditez la stratégie pour fournir l'accès aux compartiments appropriés.

  4. Si nécessaire, créez une ou plusieurs stratégies.

    1. Supprimez la stratégie par défaut qui permet d'accéder à tous les compartiments de l'instance Cloud Object Storage.

    2. Cliquez sur Affecter un accès.

    3. Pour Type de ressource, indiquez " compartiment ".

    4. Pour ID ressource, indiquez un nom de compartiment.

    5. Dans la section Sélectionner les rôles, sélectionnez Afficheur dans la liste " Affecter des rôles d'accès aux plateformes " et sélectionnez Écrivain dans la liste " Affecter des rôles d'accès au service ".

    Exemple 1 :

    Par défaut, la stratégie définie pour l'ID de service cos-all-access fournit un accès Writer à l'instance Cloud Object Storage.

    Onglet Règles d'accès pour l'ID de service cos-all-access

    Etant donné que cet ID de service et la donnée d'identification correspondante sont destinés à permettre aux utilisateurs d'accéder à tous les compartiments, aucune modification n'est requise.

    Page Editer la règle pour l'ID de service cos-all-access

    Exemple 2 :

    Par défaut, la règle de l'ID service "dept1-dept2-buckets-only" fournit un accès Writer à l'instance Cloud Object Storage. Etant donné que cet ID de service et la donnée d'identification correspondante sont destinés à permettre aux utilisateurs d'accéder uniquement aux compartiments dept1-bucket et dept2-bucket, supprimez la stratégie par défaut et créez deux stratégies d'accès, une pour dept1-bucket et une pour dept2-bucket.

    Onglet Règles d'accès pour l'ID de service dept1-dept2-buckets-only

    Page Editer la règle pour l'ID de service dept1-bucket-only

    Page Editer la règle pour l'ID de service dept2-bucket-only

Etape 5 : Copie des valeurs de chacune des données d'identification que vous avez créées

  1. Revenez à votre tableau de bord IBM Cloud et sélectionnez Cloud Object Storage dans la liste Stockage.

  2. Sélectionnez Données d'identification dans le panneau de navigation.

  3. Cliquez sur l'action Afficher les données d'identification pour l'un des ID de service que vous avez créés lors de l'étape 2.

  4. Copiez la valeur " apikey " et la valeur " resource_instance_id " dans un emplacement temporaire, comme une note de bureau.

    Données d'identification cos-all-access

    Données d'identification cos-all-access

  5. Répétez les étapes 3 et 4 pour chaque donnée d'identification.

Etape 6 : Copie du point d'extrémité

  1. Sélectionnez Nœud final dans le panneau de navigation.

  2. Copiez l'URL du point d'extrémité auquel vous souhaitez vous connecter. Sauvegardez cette valeur à un emplacement temporaire, comme une note de bureau par exemple.

Etape 7 : Ajout de connexions Cloud Object Storage qui utilisent les données d'identification de service que vous avez créées

  1. Dans Watson Studio, à partir d'un projet, cliquez sur Nouvel actif > Connexion. Ou dans un catalogue, cliquez sur Ajouter au projet > Connexion.
  1. Dans la page Nouvelle connexion, cliquez sur Cloud Object Storage.

  2. Nommez la nouvelle connexion et entrez l'URL de connexion (à partir de la page des nœuds finaux) ainsi que les valeurs " apikey " et " resource_instance_id " que vous avez copiées lors de l'étape 5 à partir de l'une des données d'identification de service.

  3. Répétez les étapes 3 à 5 pour chaque donnée d'identification.

    Les connexions seront visibles dans la section Actifs de données du projet.

Test de l'accès des utilisateurs à des compartiments

Pour aller plus loin, lorsque vous ajoutez un actif de données à partir d'une connexion Cloud Object Storage à un projet, vous ne verrez que les compartiments auxquels les règles vous permettent d'accéder. Pour tester cela :

  1. Dans un projet, cliquez sur Nouvel actif > Données connectées. Ou dans un catalogue, cliquez sur Ajouter au projet > Données connectées.

  2. Dans la section Source de connexion, cliquez sur Sélectionner une source.

    Les connexions Cloud Object Storage que vous avez créées s'affichent sur la page Select connection source.

  3. Sélectionnez l'une des connexions Cloud Object Storage pour voir que seuls les compartiments accessibles à l'ID de service associé aux données d'identification de cet intervalle sont visibles.

Rubrique parent: Ajout de connexions à des projets