Phân quyền người dùng Service Account làm việc với 1 hoặc nhiều project

Kịch bản

Giả sử bạn là người dùng Root User Account và bạn đã khởi tạo và tải lên tệp tin vào 2 project: Project01 và Project02.
Hiện tại, bạn muốn tạo 2 một người dùng mới, trong đó
- Người dùng Leo có thể sử dụng 3rd party software (ở đây chúng tôi ví dụ bạn muốn sử dụng S3 Browser) và có quyền đọc tất cả dữ liệu bao gồm các container, directory, object trên Project01.
- Người dùng Anne có thể sử dụng 3rd party software (ở đây chúng tôi ví dụ bạn muốn sử dụng S3 Browser) và có quyền đọc và ghi trên tất cả các container, directory, object trên Project01 và Project02.

Minh họa cấu trúc lưu trữ dữ liệu của bạn trên vStorage:

Project01 - HAN01            
Container01                                          
    └── Directory01                                            
           ├── object01.txt                                
           ├── object02.jpg
    └── object03.png
    └── object04.txt
Container03
    └── object10.png
Container04
-------------------------------
Project02 - HCM01          
Container02
    └── Directory02                                            
           ├── object05.txt                                
           ├── object06.jpg
    └── object07.png
    └── object08.txt
Container05

Để giải quyết bài toán phân quyền này, hãy làm theo các bước bên dưới:

Bước 1: Khởi tạo S3 key

Thực hiện khởi tạo S3 key theo hướng dẫn tại Khởi tạo S3 key. Giả sử 2 S3 key được khởi tạo là:

S3 key name

S3key_User_Leo

S3key_User_Anne

Region

HAN01

HCM01

vStorage project

Project01

Project02

Nếu S3 key bạn vừa tạo có trạng thái Restriction by IAM = ON thì bạn cần tiếp tục thực hiện các bước số 2, 3, 4 mà chúng tôi mô tả bên dưới.
Nếu S3 key bạn vừa tạo có trạng thái Restriction by IAM = OFF thì bạn có thể trực tiếp sử dụng S3 key này để tích hợp với ứng dụng S3 Browser theo mô tả tại bước số 5 bên dưới.

Bước 2: Khởi tạo tài khoản Service Account

Thực hiện khởi tạo 2 tài khoản Service Account theo hướng dẫn tại Khởi tạo tài khoản Service Account. Giả sử 2 tài khoản Service Account được khởi tạo là:

SA_User_Leo
SA_User_Anne

Bước 3: Khởi tạo policy cho 2 Service Account( SA_User_Leo và SA_User_Anne)

Thực hiện khởi tạo policy cho 2 Service Account theo hướng dẫn tại Khởi tạo policy cho Service Account. Cụ thể:

Thành phần

Policy cho SA_User_Leo

Policy cho SA_User_Anne

Product

vstorage

Action

List
Read

(Bao gồm tất cả các actions trong mỗi nhóm)

All vstorage actions. (List, Read, Write)

(Bao gồm tất cả các actions trong mỗi nhóm)).

Resource

Region

HAN01

HAN01
HCM01

Project_ID

Project_ID của Project01

Project_ID của Project01
Project_ID của Project02

Container name

Object name

Bước 3: Liên kết (Gán quyền) tài khoản Service Account với policy tương ứng.

Thực hiện liên kết (gán quyền) 2 tài khoản Service Account với policy đã tạo ở bước 2 theo hướng dẫn tại Liên kết tài khoản Service Account với policy tương ứng

Bước 4: Tích hợp vStorage với S3 Browser

Thực hiện tích hợp vStorage với S3 Browser theo hướng dẫn tại Tích hợp công cụ S3 Browser với vStorage. Cụ thể:

Thành phần

Nội dung

Display name

Tên hiển thị của account.

Account type

S3 Compatible Storage

REST Endpoint

SA_User_Leo

han01.vstorage.vngcloud.vn

SA_User_Anne

hcm01.vstorage.vngcloud.vn

Access Key ID

Access Key được tạo ở bước 1.

Secret Access Key

Secret Key được tạo ở bước 1.

Protocol

Use Secure transfer (SSL/TLS)

Signature version

Signature V4

Addressing model

Path Style (Request URL: https://hcm01.vstorage.vngcloud.vn/v1/AUTH_{project_id}/{bucket}/{file})

Virtual hosted style (Request URL: https://{bucket}.hcm01.vstorage.vngcloud.vn/{file})

Override storage region

SA_User_Leo

HAN01

SA_User_Anne

HCM01

PreviousPhân quyền người dùng IAM User Account làm việc với 1 hoặc nhiều objects của một directory hoặc cont NextPhân quyền người dùng Service Account làm việc với 1 hoặc nhiều container

Last updated 5 months ago