安全令牌服务
Amazon Web Services 安全令牌服务 (STS) 是一组 API ,用于返回一组用于认证用户的临时 S3 访问权和密钥集。
IBM Storage Ceph Object Gateway 支持用于身份和访问管理 (IAM) 的 Amazon STS 应用程序编程接口 (API) 子集。
用户首先向 STS 进行认证,并接收可在后续请求中使用的短期 S3 访问密钥和密钥。
IBM Storage Ceph Object Storage 可以通过配置 OIDC 提供者与单点登录集成来认证 S3 用户。 此功能使 Object Storage 用户能够向企业身份提供者而不是本地 Ceph Object Gateway 数据库进行认证。 例如,如果 SSO 连接到后端的企业 IDP ,那么 Object Storage 用户可以使用其企业凭证来认证和访问 Ceph Object Gateway S3 端点。
通过使用 STS 以及 IAM 角色策略功能,您可以创建经过微调的授权策略来控制对数据的访问。 这使您能够为对象存储数据实现基于角色的访问控制 (RBAC) 或基于属性的访问控制 (ABAC) 授权模型,从而使您能够完全控制谁可以访问数据。图 1。 安全令牌服务 
- 有关 STS 轻量和 Keystone 的更多信息,请参阅 配置和使用 STS 轻量和 Keystone (技术预览)。
- 有关 STS Lite 和 Keystone 限制的更多信息,请参阅 围绕将 STS Lite 与 Keystone 配合使用的限制 (技术预览)。
- 有关如何使用 IDM (LDAP) 作为 IDP 后端设置具有 RHSSO 的逐步 STS 认证以及使用基于 LDAP 组的 RBAC 模型的 IAM 角色进行授权的更多信息,请参阅 IBM 红皮书。