Cloud Object Storage 버킷에 대한 액세스 제어
버킷은 데이터를 위한 컨테이너를 제공하는 논리적 추상화입니다. Cloud Object Storage의 버킷은 IBM Cloud에 작성됩니다. Cloud Object Storage 인스턴스 내에서 정책을 사용하여 사용자의 버킷에 대한 액세스를 제한할 수 있습니다.
작동 방식은 다음과 같습니다.
이 설명에서 두 개의 인증 정보가 Cloud Object Storage 인스턴스와 연관됩니다. 각 인증 정보는 서비스 ID가 액세스할 수 있는 버킷을 제어하기 위해 정책이 정의되는 IAM 서비스 ID를 참조합니다. 프로젝트에 Cloud Object Storage 연결을 추가할 때 특정 인증 정보를 사용하여 해당 인증 정보와 연관된 서비스 ID에 액세스할 수 있는 버킷만 표시할 수 있습니다.
사용자의 버킷에 대한 액세스를 제한하는 연결을 작성하려면 다음 단계를 수행하십시오.
먼저, IBM Cloud에서 다음을 수행하십시오.
-
그런 다음 프로젝트에서 다음을 수행하십시오.
1단계: Cloud Object Storage 인스턴스 및 여러 버킷 작성
IBM Cloud 카탈로그에서 Object Storage를 검색한 후 Cloud Object Storage 인스턴스를 작성하십시오.
탐색 분할창에서 버킷을 선택하십시오.
필요한 만큼 버킷을 작성하십시오.
예를 들어 다음 세 개의 버킷을 작성하십시오. dept1-bucket, dept2-bucket 및 dept3-bucket
2단계: 사용자가 액세스할 수 있는 각 버킷 조합에 대한 서비스 인증 정보 및 서비스 ID 작성
탐색 분할창에서 서비스 인증 정보를 선택하십시오.
새 인증 정보를 클릭하십시오.
새 인증 정보 추가 대화 상자에서 인증 정보의 이름을 제공하고 적절한 액세스 역할을 선택하십시오.
서비스 ID 선택 필드에서 새 서비스 ID 작성을 클릭하십시오.
새 서비스 ID의 이름을 입력하십시오. 쉽게 식별할 수 있또록 인증 정보의 이름과 같거나 비슷한 이름을 사용할 것을 권장합니다.
추가 를 클릭하십시오.
작성할 각 인증 정보에 대해 2단계 - 6단계를 반복하십시오.
예를 들어 다음 세 개의 인증 정보를 작성하십시오. cos-all-access, dept1-dept2-buckets-only 및 dept2-dept3-buckets-only
3단계: 서비스 ID가 작성되었는지 확인
IBM Cloud 페이지 헤더에서 관리 > 액세스 (IAM)를 클릭하십시오.
탐색 분할창에서 서비스 ID를 선택하십시오.
2d와 2e단계에서 작성한 서비스 ID가 표시되는지 확인하십시오.
4단계: 적절한 버킷에 대한 액세스 권한을 제공하도록 각 서비스 ID의 정책 편집
차례로 각 서비스 ID를 여십시오.
액세스 정책 탭의 조치 메뉴에서 편집을 선택하여 정책을 보십시오.
필요한 경우 적절한 버킷에 대한 액세스를 제공하도록 정책을 편집하십시오.
필요에 따라 하나 이상의 새 정책을 작성하십시오.
Cloud Object Storage 인스턴스에서 모든 버킷에 대한 액세스를 제공하는 기존의 기본 정책을 제거하십시오.
액세스 권한 지정 을 클릭하십시오.
자원 유형의 경우, "버킷"을 지정하십시오.
자원 ID의 경우 버킷 이름을 지정하십시오.
역할 선택 섹션의 "플랫폼 액세스 역할 지정" 목록에서 뷰어를 선택하고 "서비스 액세스 역할 지정" 목록에서 작성자를 선택하십시오.
예 1
기본적으로 cos-all-access 서비스 ID에 대한 정책은 Cloud Object Storage 인스턴스에 대한 기록기 액세스 권한을 제공합니다.
이 서비스 ID와 해당 인증 정보가 사용자에게 모든 버킷에 대한 액세스를 제공하기를 원하므로 편집이 필요하지 않습니다.
예제 2
기본적으로 "dept1-dept2-buckets-only" 서비스 ID에 대한 정책은 Cloud Object Storage 인스턴스에 대한 작성자 액세스를 제공합니다. 이 서비스 ID 와 해당 인증 정보가 사용자에게 dept1-bucket 및 dept2-bucket 버킷에 대한 액세스 권한만 제공하기를 원하므로 기본 정책을 제거하고 두 개의 액세스 정책을 작성하십시오. 하나는 dept1-bucket에 대한 정책이고 다른 하나는 dept2-bucket에 대한 정책입니다.
5단계: 작성한 각 서비스 인증 정보에서 값 복사
IBM Cloud 대시보드로 돌아가서 스토리지 목록에서 Cloud Object Storage를 선택하십시오.
탐색 분할창에서 서비스 인증 정보를 선택하십시오.
2단계에서 작성한 서비스 ID중 하나에 대해 신임 정보 보기 조치를 클릭하십시오.
"apikey" 값과 "resource_instance_id" 값을 데스크탑 노트와 같은 임시 위치로 복사합니다.
각 인증 정보에 대해 3 및 4단계를 반복하십시오.
6단계: 엔드포인트 복사
탐색 분할창에서 엔드포인트를 선택하십시오.
연결할 엔드포인트의 URL을 복사하십시오. 데스크탑 노트와 같은 임시 위치에 값을 저장하십시오.
7단계: 작성한 서비스 인증 정보를 사용하는 Cloud Object Storage 연결 추가
자산 탭에서 프로젝트로 돌아가서 새 자산 > 연결을 클릭하십시오. 또는 카탈로그에서 프로젝트에 추가 > 연결을 클릭하십시오.
새 연결 페이지에서 Cloud Object Storage를 클릭하십시오.
새 연결의 이름을 지정하고 서비스 신임 정보 중 하나에서 단계 5에서 복사한 "apikey" 및 "resource_instance_id" 값뿐 아니라 로그인 URL(엔드포인트 페이지)을 입력합니다.
각 서비스 인증 정보에 대해 3 - 5단계를 반복하십시오.
연결이 프로젝트의 데이터 자산 섹션에 표시됩니다.
버킷에 대한 사용자의 액세스 권한을 테스트합니다.
앞으로는 프로젝트에 대한 Cloud Object Storage 연결에서 데이터 자산을 추가할 때 정책에서 액세스할 수 있는 버킷만 볼 수 있습니다. 이를 테스트하려면 다음을 수행하십시오.
프로젝트에서 새 자산 > 연결된 데이터를 클릭하십시오. 또는 카탈로그에서 프로젝트에 추가 > 연결된 데이터를 클릭하십시오.
연결 소스 섹션에서 소스 선택을 클릭하십시오.
연결 소스 선택 페이지에서 작성한 Cloud Object Storage 연결을 볼 수 있습니다.
Cloud Object Storage 연결 중 하나를 선택하여 해당 버킷의 신임 정보와 연관된 서비스 ID에 액세스할 수 있는 버킷만 볼 수 있는지 확인하십시오.
상위 주제: 프로젝트에 연결 추가