OBS权限配置实践--委托服务进行OBS访问

举报
云小白 发表于 2018/11/08 16:12:31 2018/11/08
【摘要】 1 方案说明在需要使用其他服务来对OBS中的数据进行访问时,可以通过创建委托的方式来实现。委托创建后被委托的服务可以用创建委托的租户身份来对OBS资源进行访问。本方案中以委托ECS通过AK/SK+STStoken访问OBS为例进行说明。2 配置操作2.1 登陆统一身份认证服务控制台,创建委托选择委托类型为“云服务”,在云服务中选择“ECS BMS”,在权限选...

1      方案说明

在需要使用其他服务来对OBS中的数据进行访问时,可以通过创建委托的方式来实现。委托创建后被委托的服务可以用创建委托的租户身份来对OBS资源进行访问。本方案中以委托ECS通过AK/SK+STStoken访问OBS为例进行说明。

2      配置操作

2.1        登陆统一身份认证服务控制台,创建委托

选择委托类型为云服务,在云服务中选择“ECS BMS”,在权限选择中配置 全局服务对象存储服务的策略为Tenant Administrator

image.png                                             

2.2        创建ECS时在高级中配置使用创建的委托

image.png


3      权限验证

3.1        登陆ECS获取临时AK/SKSTSToken

 

执行命令: curl http://169.254.169.254/openstack/latest/securitykey 获取临时AK/SKSTSToken,其中169.254.169.254ECS服务委托时的IP,如果其他云服务创建委托,需要使用各自云服务的IP地址。具体IP地址需要从云服务接口人获取。

image.png

3.2        使用s3curl验证访问权限

添加临时AK/SK用户

image.png

执行命令:./s3curl.pl --id=linshi -- -H "x-amz-security-token:***token的内容)*** " http://obs-wjl2.obs.cn-north-1.myhwclouds.com/123.txt -v image.png

image.png

注意:

通过委托形式访问OBS不支持跨Region的访问,原因是IAM为非全局服务,每个RegionIAM独立提供鉴权服务。但是创建的委托配置全局共享。

如果ECSRegion采用临时AK/SK+STStoken访问访问OBS会提示找不到AK/SK记录。

image.png

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。