安全令牌服务
Amazon Web Services 安全令牌服务 (STS) 是一组 API ,用于返回一组用于认证用户的临时 S3 访问权和密钥集。
IBM Storage Ceph Object Gateway 支持用于身份和访问管理 (IAM) 的 Amazon STS 应用程序编程接口 (API) 子集。
用户首先向 STS 进行认证,并接收可在后续请求中使用的短期 S3 访问密钥和密钥。
IBM Storage Ceph Object Storage 可通过配置 OIDC 提供商与单点登录集成,对 S3 用户进行身份验证。 该功能可使 Object Storage 用户通过企业身份提供商而不是本地 Ceph Object Gateway 数据库进行身份验证。 例如,如果 SSO 连接到后台的企业 IDP, Object Storage 用户就可以使用企业凭据进行身份验证,并访问 Ceph Object Gateway S3 端点。
通过使用 STS 以及 IAM 角色策略功能,您可以创建经过微调的授权策略来控制对数据的访问。 这些策略允许您对对象存储器数据实施基于角色的访问控制 (RBAC) 或基于属性的访问控制 (ABAC) 授权模型,从而使您能够完全控制谁可以访问数据。
用户希望访问 IBM Storage Ceph 中的 S3 资源。
用户需要向 SSO 提供程序进行认证。
SSO 提供程序与 IDP 联合,并检查用户凭证是否有效,用户是否已通过认证,以及 SSO 是否向用户提供令牌。
通过使用 SSO 提供的令牌,用户访问 Ceph Object Gateway STS 端点,要求承担 IAM 角色,为用户提供对 S3 资源的访问权。
IBM Storage Ceph 网关收到用户令牌后,会要求 SSO 验证令牌。
一旦 SSO 验证令牌,将允许用户承担该角色。 通过 STS ,将为用户提供临时访问权和密钥,以授予用户对 S3 资源的访问权。
根据附加到用户所承担的 IAM 角色的策略,用户可以访问一组 S3 资源。
例如,读取存储区 A 并写入存储区 B。
- 有关 STS Lite 和 Keystone 的更多信息,请参阅通过 Keystone 配置和使用 STS Lite(技术预览)。
- 有关 STS Lite 和 Keystone 限制的更多信息,请参阅绕过使用 STS Lite 和 Keystone 的限制(技术预览)。
- 有关如何使用 IDM (LDAP) 作为 IDP 后端通过 RHSSO 逐步设置 STS 身份验证,以及使用基于 LDAP 组的 RBAC 模型的 IAM 角色进行授权的更多信息,请参阅 IBM Redbook。