OBS权限配置实践--委托服务进行OBS访问
1 方案说明
在需要使用其他服务来对OBS中的数据进行访问时,可以通过创建委托的方式来实现。委托创建后被委托的服务可以用创建委托的租户身份来对OBS资源进行访问。本方案中以委托ECS通过AK/SK+STStoken访问OBS为例进行说明。
2 配置操作
2.1 登陆统一身份认证服务控制台,创建委托
选择委托类型为“云服务”,在云服务中选择“ECS BMS”,在权限选择中配置 全局服务对象存储服务的策略为Tenant Administrator。
2.2 创建ECS时在高级中配置使用创建的委托
3 权限验证
3.1 登陆ECS获取临时AK/SK和STSToken
执行命令: curl http://169.254.169.254/openstack/latest/securitykey 获取临时AK/SK和STSToken,其中169.254.169.254是ECS服务委托时的IP,如果其他云服务创建委托,需要使用各自云服务的IP地址。具体IP地址需要从云服务接口人获取。
3.2 使用s3curl验证访问权限
添加临时AK/SK用户
执行命令:./s3curl.pl --id=linshi -- -H "x-amz-security-token:***(token的内容)*** " http://obs-wjl2.obs.cn-north-1.myhwclouds.com/123.txt -v
注意:
通过委托形式访问OBS不支持跨Region的访问,原因是IAM为非全局服务,每个Region的IAM独立提供鉴权服务。但是创建的委托配置全局共享。
如果ECS跨Region采用临时AK/SK+STStoken访问访问OBS会提示找不到AK/SK记录。
- 点赞
- 收藏
- 关注作者
评论(0)