Memberikan dan mendapatkan akses bucket penyimpanan untuk project

Halaman ini memandu Anda cara mengelola akses ke bucket penyimpanan dalam project air-gapped Google Distributed Cloud (GDC), sehingga orang yang tepat memiliki izin yang tepat. Dokumen ini mencakup prasyarat dan langkah-langkah untuk mendapatkan dan memberikan akses pengguna dan akun layanan menggunakan binding peran dan peran bawaan. Informasi ini memungkinkan Anda mengontrol akses ke resource penyimpanan secara efektif serta menjaga keamanan dan efisiensi operasional.

Halaman ini ditujukan bagi audiens seperti administrator IT dalam grup operator infrastruktur atau developer dalam grup operator aplikasi yang mengelola setelan akses untuk bucket penyimpanan di lingkungan yang terisolasi GDC. Untuk mengetahui informasi selengkapnya, lihat dokumentasi Audiens untuk GDC yang terisolasi dari internet.

Sebelum memulai

Namespace project mengelola resource bucket di server Management API. Anda harus memiliki project untuk menggunakan bucket dan objek.

Memberikan akses bucket

Anda dapat memberikan akses bucket kepada pengguna atau akun layanan lain dengan membuat dan menerapkan RoleBinding dengan Peran yang telah ditentukan sebelumnya di server Management API.

Peran yang telah ditetapkan

  • project-bucket-object-viewer: Peran ini memungkinkan pengguna mencantumkan semua bucket dalam project, mencantumkan objek dalam bucket tersebut, serta membaca objek dan metadata objek. Anda tidak dapat melakukan operasi tulis pada objek. Misalnya: mengupload, menimpa, menghapus. Memiliki akses hanya baca pada bucket zona ganda dalam organisasi dan projectnya, serta akses hanya baca pada objek dalam bucket tersebut.

  • project-bucket-object-admin: Izin ini memungkinkan pengguna mencantumkan semua bucket dalam project, serta melakukan operasi tulis dan baca pada objek. Misalnya: mengupload, menimpa, menghapus. Memiliki akses hanya baca pada bucket zona ganda dalam organisasi dan projectnya, serta akses baca-tulis pada objek dalam bucket tersebut.

  • project-bucket-admin: Peran ini memungkinkan pengguna mengelola semua bucket dalam namespace yang diberikan, serta semua objek dalam bucket tersebut. Memiliki akses hanya baca pada bucket zona ganda dalam organisasi dan projectnya, serta akses baca-tulis pada objek dalam bucket tersebut.

Untuk melihat daftar lengkap izin yang diberikan untuk Peran sebelumnya, lihat bagian izin Peran preset.

Minta Admin IAM Project Anda untuk memberi Anda izin guna membuat RoleBinding. Berikut adalah contoh pembuatan RoleBinding untuk memberikan akses kepada pengguna dan akun layanan:

  1. Buat file YAML di sistem Anda, seperti rolebinding-object-admin-all-buckets.yaml.

    # Example file name:
# rolebinding-object-admin-all-buckets.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  namespace: NAMESPACE_NAME
  name: readwrite-all-buckets
roleRef:
  kind: Role
  name: project-bucket-object-admin
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: ServiceAccount
  namespace: NAMESPACE_NAME
  name: SA_NAME
- kind: User
  namespace: NAMESPACE_NAME
  name: bob@example.com
  apiGroup: rbac.authorization.k8s.io
  # Could be bob or bob@example.com based on your organization settings.

  2. Terapkan file YAML:

    kubectl apply \
-f rolebinding-object-admin-all-buckets.yaml

Mendapatkan kredensial akses bucket

Setelah Anda memberikan akses ke bucket, kredensial akses akan dibuat di Secret.

Format nama secret adalah object-storage-key-STORAGE_CLASS-SUBJECT_TYPE-SUBJECT_HASH.

  • Nilai untuk STORAGE_CLASS adalah:
    • std untuk kelas penyimpanan Standard.
  • Nilai untuk SUBJECT_TYPE adalah:
    • user untuk Pengguna.
    • sa untuk ServiceAccount.
  • SUBJECT_HASH adalah hash SHA256 berenkode base32 dari nama subjek.

Sebagai contoh, pengguna bob@foo.com memiliki dua rahasia bernama:

  1. object-storage-key-std-user-oy6jdqd6bxfoqcecn2ozv6utepr5bgh355vfku7th5pmejqubdja

Mendapatkan akses pengguna

Untuk subjek pengguna, Secret berada di namespace object-storage-access-keys di server Management API.

  1. Jalankan perintah berikut untuk menemukan nama rahasia:

    kubectl auth can-i --list --namespace object-storage-access-keys | grep object-storage-key-

    Anda akan menerima output yang mirip dengan berikut ini:

    secrets        []        [object-storage-key-nl-user-oy6jdqd6bxfoqcecn2ozv6utepr5bgh355vfku7th5pmejqubdja,object-storage-key-std-user-oy6jdqd6bxfoqcecn2ozv6utepr5bgh355vfku7th5pmejqubdja]        [get]

  2. Dapatkan konten secret yang sesuai untuk mengakses bucket di kelas penyimpanan Standard:

    kubectl get -o yaml --namespace object-storage-access-keys secret object-storage-key-std-user-oy6jdqd6bxfoqcecn2ozv6utepr5bgh355vfku7th5pmejqubdja

    Anda akan menerima output yang mirip dengan berikut ini:

    data:
  access-key-id: MEhYM08wWUMySjcyMkVKTFBKRU8=
  create-time: MjAyMi0wNy0yMiAwMTowODo1OS40MTQyMTE3MDMgKzAwMDAgVVRDIG09KzE5OTAuMzQ3OTE2MTc3
  secret-access-key: Ump0MVRleVN4SmhCSVJhbmlnVDAwbTJZc0IvRlJVendqR0JuYVhiVA==

  3. Dekode ID kunci akses dan rahasia:

    echo "MEhYM08wWUMySjcyMkVKTFBKRU8=" | base64 -d \
    && echo \
    && echo "Ump0MVRleVN4SmhCSVJhbmlnVDAwbTJZc0IvRlJVendqR0JuYVhiVA==" | base64 -d

    Anda akan menerima output yang mirip dengan berikut ini:

    0HX3O0YC2J722EJLPJEO
Rjt1TeySxJhBIRanigT00m2YsB/FRUzwjGBnaXbT

  4. Ikuti bagian Mengonfigurasi gdcloud CLI dengan informasi yang dihasilkan.

Mendapatkan akses akun layanan

Untuk subjek akun layanan (SA), temukan nama secret dari cluster pengguna.

  1. Untuk class penyimpanan standar, jalankan perintah berikut untuk mendapatkan nama secret:

    kubectl get -n=<PROJECT-NAME> serviceaccount <SA-NAME> -o json | jq -r '.secrets[] | select(.name | test("object-storage-key-std"))'

  2. Kemudian, Anda dapat melihat nama rahasia yang tercantum secara manual atau menggunakan grep untuk menemukan object-storage-key-(std|nl). Untuk opsi terakhir, jalankan perintah berikut:

    kubectl get -n=<PROJECT-NAME> serviceaccount <SA-NAME> -o=jsonpath='{.secrets}{"\n"}' | grep object-storage-key-(std|nl)

  3. Anda dapat mereferensikan Secret di pod sebagai variabel lingkungan atau file.

Izin peran preset

Perhatikan bahwa peran bawaan juga tersedia di server API global untuk akses administratif dan operasional ke bucket zona ganda.

izin project-bucket-object-viewer

Peran ini memberikan izin untuk mendapatkan dan mencantumkan objek serta metadata objek dalam bucket.

Berikut adalah daftar semua izin penyimpanan objek yang diberikan oleh kata kerja project-bucket-object-viewer:

  • Izin Bucket API:

    1. get
    2. list
    3. watch

  • Izin penyimpanan objek S3:

    1. GetObject
    2. GetObjectAcl
    3. GetObjectLegalHold
    4. GetObjectRetention
    5. GetObjectTagging
    6. GetObjectVersion
    7. GetObjectVersionTagging
    8. ListBucket
    9. ListBucketVersions
    10. ListBucketMultipartUploads
    11. ListMultipartUploadParts

Izin project-bucket-object-admin

Peran ini memberikan izin untuk menempatkan dan menghapus objek, serta versi dan tag objek dalam bucket. Selain itu, peran ini juga memberikan semua izin di project-bucket-object-viewer.

Berikut daftar semua izin penyimpanan objek tambahan yang diberikan Peran:

  • Izin penyimpanan Objek S3:

    1. AbortMultipartUpload
    2. DeleteObject
    3. DeleteObjectTagging
    4. DeleteObjectVersion
    5. DeleteObjectVersionTagging
    6. PutObject
    7. PutObjectTagging
    8. PutObjectVersionTagging
    9. PutOverwriteObject
    10. RestoreObject

izin project-bucket-admin

Peran ini memberikan izin untuk membuat, memperbarui, atau menghapus resource Bucket di namespace project. Selain itu, peran ini juga memberikan semua izin di project-bucket-object-admin.

Daftar izin tambahan yang diberikan Peran adalah sebagai berikut:

  • Izin Bucket API:

    1. Buat
    2. Perbarui
    3. Hapus