API를 사용하여 RBAC 관리
IBM 데이터 카탈로그 리소스 기반 액세스 제어(RBAC)는 IBM 데이터 카탈로그 서비스에 대한 역할 기반 액세스를 가능하게 하는 REST API 서비스입니다. 이 서비스는 IBM 데이터 카탈로그에 연결된 여러 도메인에 걸쳐 ID 및 액세스 관리(IAM)를 제공하기 위한 백엔드로 OpenStack Keystone 를 사용합니다.
인증 서비스는 default도메인에서 사용자 이름이 sdadmin 이고 비밀번호가 Passw0rd 인 기본 사용자를 사용합니다. 이 사용자에게는 관리 역할이 있으며 다음 조치를 수행하는 데 사용할 수 있습니다.
- 이 사용자는 다른 사용자 및 사용자 그룹을 작성할 수 있습니다.
- 이 사용자는 인증 서비스에 새 도메인을 등록할 수 있습니다.
- 이 사용자는 프로젝트를 작성할 수 있습니다.
- 이 사용자는 프로젝트 또는 도메인 레벨에서 사용자에게 역할을 지정할 수 있습니다.
다음은 해당 액세스 레벨의 사전 정의된 사용자 역할입니다.
- 관리자
- 시스템에서 작성한 기본 사용자 역할입니다. 이 역할을 가진 사용자는 다른 사용자, 프로젝트, 도메인을 작성하고 역할을 지정할 수 있습니다. 이 역할을 가진 사용자는 메타데이터 레코드를 볼 수 없습니다.
- 데이터 관리자
- 이 역할을 가진 사용자는 프로젝트에서 모든 메타데이터 레코드를 볼 수 있습니다.
- 콜렉션 관리자
- 이 역할의 사용자는 수집된 메타데이터에 액세스할 수 있습니다. 그러나 메타데이터 액세스는 사용자에게 콜렉션 관리 또는 데이터 사용자 역할이 지정된 콜렉션과 연관된 레코드로 제한됩니다.중요: 콜렉션 관리자 역할은 2.0.1.1 릴리스에서 기술 미리보기로 사용 가능합니다. 컬렉션 관리자 역할 사용에 대한 제한 사항은 IBM Spectrum® Discover 릴리즈 노트를 참조하세요.
- 데이터 사용자
- 이 역할은 연구자 또는 데이터 과학자에게 이상적입니다. 이 역할을 가진 사용자는 자신이 속한 프로젝트와 연관된 레코드를 볼 수 있습니다.
- 서비스 사용자
- 이 사용자 역할은 서비스 담당자를 위한 것입니다. 이 역할을 가진 사용자는 시스템 로그에 대한 읽기 전용 액세스 권한을 갖습니다.
IBM 데이터 카탈로그는 IBM Spectrum Scale 에 연결된 엔터프라이즈 LDAP와 통합됩니다. 관리 사용자는 인증 서비스 API를 사용하여 IBM 데이터 카탈로그에 LDAP 도메인 정의를 추가할 수 있습니다. 등록된 LDAP 도메인의 사용자 및 그룹은 IBM 데이터 카탈로그에 자동으로 가져오며, 관리자는 이러한 사용자 및 그룹을 다른 프로젝트에 추가하면서 데이터 사용자 역할을 할당할 수 있습니다.
또한 관리 사용자는 일부 사용자 및 사용자 그룹에 데이터 관리자 역할을 할당하여 검색 및 정책에 대한 전체 IBM 데이터 카탈로그 인덱스에 대한 액세스 권한을 부여할 수 있습니다.
인증 API 서비스 엔드포인트의 기본 구조는 다음과 같습니다. https://<host address>/auth/v1/<endpoint>
예를 들어, 다음 엔드포인트는 사용자에 대한 인증 토큰을 가져옵니다. curl -k -u
<user>:<pass> https://<host address>/auth/v1/token