OBS权限配置实践--委托服务进行OBS访问

网友投稿 879 2022-05-30

OBS权限配置实践--委托服务进行OBS访问

1      方案说明

在需要使用其他服务来对OBS中的数据进行访问时,可以通过创建委托的方式来实现。委托创建后被委托的服务可以用创建委托的租户身份来对OBS资源进行访问。本方案中以委托ECS通过AK/SK+STStoken访问OBS为例进行说明。

2      配置操作

2.1        登陆统一身份认证服务控制台,创建委托

选择委托类型为“云服务”,在云服务中选择“ECS BMS”,在权限选择中配置 全局服务对象存储服务的策略为Tenant Administrator。

2.2        创建ECS时在高级中配置使用创建的委托

3      权限验证

3.1        登陆ECS获取临时AK/SK和STSToken

执行命令: curl http://169.254.169.254/openstack/latest/securitykey 获取临时AK/SK和STSToken,其中169.254.169.254是ECS服务委托时的IP,如果其他云服务创建委托,需要使用各自云服务的IP地址。具体IP地址需要从云服务接口人获取。

3.2        使用s3curl验证访问权限

添加临时AK/SK用户

执行命令:./s3curl.pl --id=linshi -- -H "x-amz-security-token:***(token的内容)*** " http://obs-wjl2.obs.cn-north-1.myhwclouds.com/123.txt -v

注意:

通过委托形式访问OBS不支持跨Region的访问,原因是IAM为非全局服务,每个Region的IAM独立提供鉴权服务。但是创建的委托配置全局共享。

如果ECS跨Region采用临时AK/SK+STStoken访问访问OBS会提示找不到AK/SK记录。

对象存储服务 OBS 弹性云服务器 ECS

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:windows系统process的kill方法和close方法区别
下一篇:《大话华为云OBS+IAM权限控制》连载 (八):“IAM项目”实现企业云资源的区域性物理隔离,用以区分全局级和项目级服务
相关文章