OBS权限配置实践--委托服务进行OBS访问
【摘要】 1 方案说明在需要使用其他服务来对OBS中的数据进行访问时,可以通过创建委托的方式来实现。委托创建后被委托的服务可以用创建委托的租户身份来对OBS资源进行访问。本方案中以委托ECS通过AK/SK+STStoken访问OBS为例进行说明。2 配置操作2.1 登陆统一身份认证服务控制台,创建委托选择委托类型为“云服务”,在云服务中选择“ECS BMS”,在权限选...
1 方案说明
在需要使用其他服务来对OBS中的数据进行访问时,可以通过创建委托的方式来实现。委托创建后被委托的服务可以用创建委托的租户身份来对OBS资源进行访问。本方案中以委托ECS通过AK/SK+STStoken访问OBS为例进行说明。
2 配置操作
2.1 登陆统一身份认证服务控制台,创建委托
选择委托类型为“云服务”,在云服务中选择“ECS BMS”,在权限选择中配置 全局服务对象存储服务的策略为Tenant Administrator。
2.2 创建ECS时在高级中配置使用创建的委托
3 权限验证
3.1 登陆ECS获取临时AK/SK和STSToken
执行命令: curl http://169.254.169.254/openstack/latest/securitykey 获取临时AK/SK和STSToken,其中169.254.169.254是ECS服务委托时的IP,如果其他云服务创建委托,需要使用各自云服务的IP地址。具体IP地址需要从云服务接口人获取。
3.2 使用s3curl验证访问权限
添加临时AK/SK用户
执行命令:./s3curl.pl --id=linshi -- -H "x-amz-security-token:***(token的内容)*** " http://obs-wjl2.obs.cn-north-1.myhwclouds.com/123.txt -v 
注意:
通过委托形式访问OBS不支持跨Region的访问,原因是IAM为非全局服务,每个Region的IAM独立提供鉴权服务。但是创建的委托配置全局共享。
如果ECS跨Region采用临时AK/SK+STStoken访问访问OBS会提示找不到AK/SK记录。
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)