Secure Token Service
Der Amazon Web Services Secure Token Service (STS) ist eine Gruppe von APIs, die eine Gruppe von temporären S3 -Zugriffsschlüsseln und geheimen Schlüsseln zur Authentifizierung von Benutzern zurückgeben.
IBM Storage Ceph Object Gateway unterstützt eine Untergruppe von Amazon STS-Anwendungsprogrammierschnittstellen (APIs) für das Identitäts-und Zugriffsmanagement (IAM).
Benutzer authentifizieren sich zuerst bei STS und empfangen einen kurzlebigen S3 -Zugriffsschlüssel und einen geheimen Schlüssel, die in nachfolgenden Anforderungen verwendet werden können.
IBM Storage Ceph Object Storage kann S3 -Benutzer authentifizieren, indem ein Single Sign-on durch Konfiguration eines OIDC-Providers integriert wird. Dieses Feature ermöglicht Benutzern von Object Storage die Authentifizierung bei einem Unternehmensidentitätsprovider und nicht bei der lokalen Ceph Object Gateway -Datenbank. Wenn SSO beispielsweise mit einem Unternehmens-IDP im Backend verbunden ist, können Object Storage -Benutzer ihre Unternehmensberechtigungsnachweise verwenden, um sich zu authentifizieren und auf den S3 -Endpunkt von Ceph Object Gateway zuzugreifen.
Durch die Verwendung von STS zusammen mit dem Richtlinienfeature für IAM-Rollen können Sie optimierte Berechtigungsrichtlinien erstellen, um den Zugriff auf Ihre Daten zu steuern. Mit diesen Richtlinien können Sie entweder ein RBAC-Berechtigungsmodell (Role-Based Access Control, rollenbasierte Zugriffssteuerung) oder ein ABAC-Berechtigungsmodell (Attribute-Based Access Control, attributbasierte Zugriffssteuerung) für Ihre Objektspeicherdaten implementieren und so steuern, wer auf die Daten zugreifen kann.
Der Benutzer möchte auf S3 -Ressourcen in IBM Storage Cephzugreifen.
Der Benutzer muss sich beim SSO-Provider authentifizieren.
Der SSO-Provider wird mit einem IDP eingebunden und überprüft, ob die Benutzerberechtigungsnachweise gültig sind, der Benutzer authentifiziert wird und das SSO dem Benutzer ein Token bereitstellt.
Mithilfe des von SSO bereitgestellten Tokens greift der Benutzer auf den STS-Endpunkt Ceph Object Gateway zu und fordert ihn auf, eine IAM-Rolle zu übernehmen, die dem Benutzer Zugriff auf S3 -Ressourcen bietet.
Das Gateway IBM Storage Ceph empfängt das Benutzertoken und fordert das SSO auf, das Token zu validieren.
Sobald SSO das Token validiert, kann der Benutzer die Rolle übernehmen. Über STS wird dem Benutzer temporärer Zugriff und geheime Schlüssel bereitgestellt, die dem Benutzer Zugriff auf die S3 -Ressourcen erteilen.
Abhängig von den Richtlinien, die der IAM-Rolle zugeordnet sind, die der Benutzer angenommen hat, kann der Benutzer auf eine Gruppe von S3 -Ressourcen zugreifen.
Lesen Sie beispielsweise für Bucket A und schreiben Sie in Bucket B.
- Weitere Informationen zu STS Lite und Keystone finden Sie unter Konfigurieren und Verwenden von STS Lite mit Keystone (Technologievorschau).
- Weitere Informationen zu den Einschränkungen von STS Lite und Keystone finden Sie unter Umgehen der Einschränkungen bei der Verwendung von STS Lite mit Keystone (Technologievorschau).
- Weitere Informationen zur schrittweisen Einrichtung der STS-Authentifizierung mit RHSSO unter Verwendung von IDM (LDAP) als IDP-Backend und der Autorisierung unter Verwendung von IAM-Rollen mit einem auf LDAP-Gruppen basierenden RBAC-Modell finden Sie unter IBM Redbook.