Článek přečtěte do 4 min.

Oznamujeme obecnou dostupnost řízení granulárního přístupu na úrovni objektů pro službu Oracle Cloud Infrastructure (OCI) Object Storage ve všech komerčních oblastech. S Object Identity and Access Management (IAM) nyní můžete nastavit zásady řízení přístupu na úrovni objektů a povolit pracovní zátěže, jako je Hadoop, datová jezera a internet věcí (IoT), které sdílejí jeden segment s miliony objektů s více aplikací.

Můžete vytvořit zásady řízení přístupu na úrovni segmentu a spravovat řízení přístupu ke všem objektům v segmentu. Pracovní zátěže jako Hadoop však často zapisují miliony objektů do několika velkých bucketů, ke kterým pak přistupují a zpracovávají je desítky až stovky aplikací a uživatelů vyšší úrovně. Každá z těchto aplikací a uživatelů vyžaduje jedinečnou sadu přístupových oprávnění pro jednotlivé objekty. Nyní můžete pomocí Object IAM vytvářet zásady řízení přístupu, které řídí oprávnění na úrovni jednotlivých objektů a určují, které operace jsou povoleny jednotlivými uživateli nebo aplikacemi.

Objekt IAM umožňuje následující funkce:

  • Podrobné ovládání: poskytuje podrobnou kontrolu nad jednotlivým objektem nebo skupinou objektů.
  • Vylepšené zabezpečení: Pomocí řízení přístupu na úrovni objektu můžete omezit přístup uživatelů k určité sadě operací, jako je získat, vytvořit, odstranit, přejmenovat a kopírovat.

Zákazník s velkým datovým jezerem může tuto funkci používat s následující strategií. Například máte ve sdíleném segmentu tři různé datové sady (adresáře nebo názvy objektů se společným vzorem) a uživatelům a skupinám je třeba poskytnout různé úrovně přístupu k datům, které se mohou v průběhu času měnit:

  • Datová sada 1: Aktivní data z aktuálního projektu
    • Skupina 1 má přístup pro čtení a zápis do datové sady 1 v rámci segmentu, protože tato skupina generuje data a zpracovává je pro analýzu trendů.
    • Skupina 2 má přístup ke čtení a kopírování datové sady 1, protože používá data pro strojové učení (ML).
    • Skupina 3 má přístup pouze pro čtení k procesním datům napříč více datovými sadami.
  • Dataset 2: Data z dříve dokončeného projektu.
    • Skupina 3 má přístup pouze pro čtení k procesním datům napříč více datovými sadami.
    • Žádní uživatelé nemají přístup pro zápis nebo mazání datové sady 2.
  • Datová sada 3: Aktivní data z jiného projektu.
    • Uživatel Y má úplný přístup k datové sadě, včetně seznamu, čtení, zápisu, mazání nebo kopírování.

Policy creation in the Console.

IAM Policy details.

Konfigurace zásad IAM objektů

Správci Object Storage nyní mohou nastavit zásady na úrovni objektů pro segment z konzoly Oracle Cloud Console nebo pomocí rozhraní CLI, API nebo Terraform. Proces vytváření zásad na úrovni objektů je stejný jako u zásad na úrovni segmentů. Nová proměnná zásad IAM  target.object.name  vám umožňuje použít oprávnění a oprávnění k objektům.

Zásady umožňují pouze přístup; nemohou odepřít přístup. Odepření přístupu je implicitní, což znamená, že ve výchozím nastavení uživatelé nemohou nic dělat a musí jim být udělen přístup prostřednictvím zásad. Pokud neexistují žádné zásady Object IAM, uživatelé mají přístup na základě zásad nastavených na úrovni oddílu nebo segmentu. Zásady jsou kumulativní a zděděné: Přihrádka, Bucket, pak Objekt.

Chcete-li vytvořit novou zásadu nebo spravovat existující zásadu, postupujte takto:

  1. V Konzole přejděte do  nabídky Identita a zabezpečení  a vyberte  Zásady – zobrazí se seznam zásad.
  2. Vytvořte zásadu nebo   vyberte  existující zásadu  a zobrazte její podrobnosti.
  3. Chcete-li přidat pravidla, použijte  Tvůrce zásad  nebo klikněte na  Upravit prohlášení o zásadách. 

Kromě zobrazení a úprav existující zásady ji můžete také odstranit.

Politická prohlášení vždy začínají slovem  Allow. Viz následující příklady:

  • Příklad 1: Povolení úplného přístupu ke skupině pro složku „prod“ v kbelíku „test-bucket“:
    • Povolit skupině test-group spravovat objekty V NÁJMU, kde všechny {target.bucket.name = ‚test-bucket‘, target.object.name = ‚prod/*‘}
  • Příklad 2: Povolte přístup pouze pro čtení ke skupině pro složku ‚dev‘ v bucketu ‚test-bucket‘:
    • Povolit skupině test-group spravovat objekty V NÁJMU, kde všechny {target.bucket.name = ‚test-bucket‘, target.object.name = ‚dev/*‘, any{request.permission=’OBJECT_INSPECT‘, request.permission =’OBJECT_READ‘}}
  • Příklad 3: Povolení jednorázového zápisu (žádné přepsání) a zákaz čtení nebo mazání přístupu ke skupině pro složku ‚prod‘ v bucketu ‚test-bucket‘:
    • Povolit skupině testovací skupině spravovat objekty V NÁJMU, kde všechny {target.bucket.name = ‚test-bucket‘, target.object.name = ‚prod/*‘, any{request.permission=’OBJECT_CREATE‘}}
  • Příklad 4: Přístup ke čtení a zápisu do skupiny pro složku ‚dev‘ v bucketu ‚test-bucket‘ (žádný výpis ani přepisování):
    • Povolit skupině test-group spravovat objekty V NÁJMU, kde všechny {target.bucket.name = ‚test-bucket‘, target.object.name = ‚dev/*‘, any{request.permission=’OBJECT_CREATE‘, request.permission =’OBJECT_READ‘}}
  • Příklad 5: Udělení veškerého přístupu pro konkrétního uživatele pro vzor objektu „*.pdf“ v segmentu „test-bucket“:
    • Povolit libovolnému uživateli spravovat objekty V NÁJMU, kde všechny {target.bucket.name = ‚test-bucket‘, target.object.name = ‚*.pdf‘, request.user.id=’ocid1.user.oc1.. aaaaaaaaasdasdasdasdssltbz7dwqb2h3qd4lrf6enng4mtfu5gio6il57a‘}

Po nakonfigurování zásady povolí řízení přístupu na úrovni objektu. Ve většině případů se zásady aktivují do pěti minut. Autorizace zásad je vyhodnocena, když přijde požadavek na objekt, takže změna zásady se uplatní po rozšíření zásady. Zásady IAM objektů se vztahují na stávající i nové objekty.

Závěr

Nyní můžete pomoci zlepšit svou pozici zabezpečení pomocí podrobného řízení úrovně, které umožní přístup k jednotlivému objektu nebo sadě objektů konkrétnímu uživateli nebo skupině. Tuto funkci můžete začít používat jednoduchým přidáním zásady IAM na úrovni objektu pomocí nové proměnné  target.object.name. Tato proměnná nemá žádný vliv na pracovní zátěž zákazníků, která závisí na vysokém výkonu z úložiště objektů OCI.

Pokud ještě nepoužíváte Oracle Cloud Infrastructure, můžete se zaregistrovat k bezplatné zkušební verzi.

Další informace naleznete v následujících zdrojích:

Zdroj: Oracle