Gestion des compartiments IBM Cloud Object Storage (COS)

Les compartiments vous permettent d'organiser vos données dans une instance IBM Cloud Object Storage.

Pour gérer les compartiments, l'utilisateur doit disposer de droits d'utilisation des compartiments dans l'instance IBM Cloud Object Storage. Pour plus d'informations sur les rôles, voir Rôles Identity and Access Management.

Création d'un compartiment

Choisissez l'une des options suivantes pour créer un compartiment :

Créer des demandes de seaux
Action	Informations complémentaires
Créer un compartiment via l'interface utilisateur IBM Cloud	En savoir plus
Créer un compartiment via l'interface de ligne de commande IBM Cloud	En savoir plus
Créer un compartiment à l'aide de cURL	En savoir plus
Créer un compartiment à l'aide de l'API REST	En savoir plus
Créer un compartiment avec une classe de stockage différente à l'aide de l'API REST	En savoir plus
Créer un compartiment avec les clés de chiffrement gérées par les services Key Protect ou Hyper Protect Crypto (SSE-KP) à l'aide de l'API REST	En savoir plus
Créer un compartiment à l'aide de Terraform	En savoir plus

Pour créer un compartiment, votre utilisateur doit disposer de droits de gestionnaire ou d'écriture sur l'instance IBM Cloud Object Storage dans laquelle vous prévoyez de créer le compartiment.

Création d'un compartiment via l'interface utilisateur IBM Cloud

Pour créer un compartiment via l'interface utilisateur IBM Cloud, procédez comme suit :

Dans le menu Navigation, sélectionnez Liste de ressources.
Sélectionnez l'instance IBM Cloud Object Storage dans laquelle vous prévoyez de créer le compartiment.
Sélectionnez Compartiments. Ensuite, cliquez sur Créer un compartiment.

Si vous configurez l'archivage dans un emplacement géré par l'UE, vous devez configurer un compartiment conforme à la réglementation RGPD gérée par l'UE. Pour plus d'informations, voir European Union support.
Entrez un nom de compartiment dans la zone Nom de compartiment unique.

Remarque : tous les compartiments de toutes les régions du monde se partagent le même espace de nom.
Sélectionnez le type de résilience et de l'emplacement où vous voulez que vos données soient physiquement stockées.

La résilience fait référence à la portée et à la dimension de la zone géographique dans laquelle vos données sont distribuées.

Une résilience inter-région répartit vos données dans plusieurs zones métropolitaines.

Une résilience régionale répartit vos données dans une seule zone métropolitaine.

Un centre de données unique distribue les données uniquement aux périphériques d'un seul site.

Pour plus d'informations, voir Sélection de régions et de noeuds finaux.
Sélectionnez le type de Classe de stockage.

Vous pouvez créer des compartiments ayant différentes classes de stockage. Sélectionnez la classe de stockage de votre compartiment en fonction de vos besoins en matière d'extraction des données. Pour plus d'informations, voir Utilisation de classes de stockage.

Une fois qu'un compartiment est créé, sa classe de stockage ne peut pas être modifiée. Si vous avez besoin de reclassifier des objets, vous devez déplacer les données vers un autre compartiment ayant la classe de stockage requise.
Si vous le souhaitez, ajoutez un chiffrement supplémentaire à votre compartiment. Par exemple, configurez Key Protect Key dans votre compartiment pour chiffrer les données au repos.

Vous ne pouvez ajouter un chiffrement supplémentaire que lors de la création du compartiment.

Tous les objets sont chiffrés par défaut à l'aide de clés générées de manière aléatoire et d'une transformation en tout ou rien. Même si ce modèle de chiffrement par défaut fournit une sécurité au repos, certaines charges de travail doivent posséder les clés de chiffrement utilisées. Pour plus d'informations, voir Gestion du chiffrement.

Obtention des détails de configuration du compartiment via l'interface utilisateur IBM Cloud

Lorsque vous configurez une cible, vous avez besoin du nom du compartiment et du nœud final privé.

Pour obtenir les détails de configuration du compartiment via l'interface utilisateur IBM Cloud, procédez comme suit :

Dans le menu Navigation, sélectionnez Liste de ressources.
Sélectionnez l'instance IBM Cloud Object Storage dans laquelle vous prévoyez de créer le compartiment.
Sélectionnez Compartiments. Sélectionnez ensuite le compartiment que vous souhaitez utiliser pour collecter les événements d'audit.
Sélectionnez Configuration. Recherchez le nom du compartiment et le nœud final privé.

Génération d'une clé d'API pour accéder à un compartiment

Lorsque Activity Tracking collecte des événements d'audit dans votre compte, il utilise une clé d'API pour télécharger des données dans un compartiment. Par conséquent, vous devez définir des données d'identification dans votre compte pour utiliser le service IBM Cloud Object Storage.

Pour configurer une région dans votre compte pour collecter des événements d'audit et les stocker dans un compartiment, vous devez disposer de données d'identification de service avec des droits permettant de télécharger des objets dans le compartiment.

Pour plus d'informations sur l'octroi d'un accès à un ID de service, voir Granting access to a service ID.

Collecte d'événements d'audit pour un compartiment

Vous pouvez utiliser le service IBM Cloud Logs pour savoir comment les utilisateurs et les applications interagissent avec IBM Cloud Object Storage (COS). Pour plus d'informations sur les événements d'audit générés pour un compartiment et ses objets, voir Activity Tracker events.

Pour collecter des événements d'audit pour un compartiment, prenez en compte les informations suivantes :

La collecte des événements d'audit dans votre compte est facultative.
Vous devez configurer chaque compartiment pour activer les événements de gestion, ou les événements de gestion et de données. Notez que pour un compartiment, vous ne pouvez pas activer les événements de données uniquement.
Pour surveiller les événements de gestion, vous devez configurer un seau et spécifier l'instance IBM Cloud Logs où ces événements seront collectés et transmis.
Pour surveiller les événements de données, vous devez sélectionner l'option Track data events. Ensuite, sélectionnez Lire, écrireou Lire & écrire pour collecter les événements lorsqu'un objet est transféré ou téléchargé à partir d'un compartiment.

Activez la collecte des événements d'audit une fois que vous avez configuré Activity Tracking dans la région dans laquelle se trouve le compartiment.

Liste des objets d'un compartiment

Vous pouvez choisir l'une des méthodes suivantes pour répertorier les objets dans un compartiment :

Répertoriez les objets d'un compartiment donné à l'aide de l'interface de ligne de commande.
Répertorier les objets d'un compartiment donné à l'aide de l'API
Répertoriez les objets d'un compartiment donné via l'interface utilisateur IBM Cloud.

Répertorier les objets d'un compartiment donné via l'interface utilisateur IBM Cloud

Pour répertorier les objets dans un compartiment via l'interface utilisateur IBM Cloud, procédez comme suit :

Dans le menu Navigation, sélectionnez Liste de ressources.
Sélectionnez l'instance IBM Cloud Object Storage dans laquelle le compartiment est disponible.
Sélectionnez Compartiments.
Sélectionnez un compartiment. La liste des objets s'affiche.

Gestion de l'accès à un compartiment

L'accès permettant d'utiliser le service Object Storage est contrôlé par IBM Cloud Identity and Access Management (IAM).

Chaque utilisateur ou ID de service qui accède au service Object Storage dans votre compte doit disposer d'une règle d'accès avec un rôle IAM défini. Cette règle détermine les actions que l'utilisateur ou l'ID de service peut effectuer dans le contexte du service ou de l'instance que vous sélectionnez. Les actions autorisées sont personnalisées et définies par le service IBM Cloud en tant qu'opérations pouvant être réalisées sur le service. Les actions sont ensuite mappées à des rôles utilisateur IAM.

Pour définir une règle, définissez d'abord la portée. Vous pouvez définir une règle pour accorder l'accès dans l'un des contextes suivants :

Dans toutes les instances du service dans votre compte
Pour une instance de service individuelle dans votre compte
Pour un compartiment spécifique d'une instance
Pour tous les services IAM dans votre compte

Après avoir défini la portée de la règle d'accès, vous devez affecter un rôle.

Pour plus d'informations sur les actions autorisées par rôle dans le service Object Storage, voir COS Identity and Access Management role.
Pour plus d'informations sur les autorisations de compartiment par rôle, voir Bucket permissions.
Pour plus d'informations sur l'affectation de rôles, voir Gestion de l'accès IAM.

Les règles IAM sont appliquées de manière hiérarchique, du plus haut niveau d'accès au plus restreint. Les conflits sont résolus en utilisant la règle plus permissive. Par exemple, si un utilisateur possède les rôles d'accès au service Writer et Reader sur un compartiment, la règle accordant le rôle Reader est ignorée. Cela s'applique également aux règles d'instance de service et de niveau de compartiment.

Par exemple, si la règle affectée à un utilisateur lui octroie le rôle d'accès Writer sur une instance de service et le rôle Reader sur un compartiment unique, la règle de niveau compartiment est ignorée.
Si la règle affectée à un utilisateur lui octroie le rôle d'accès Reader sur une instance de service et le rôle Writer sur un compartiment unique, les deux règles sont appliquées et le rôle Writer plus permissif est prioritaire pour le compartiment individuel.

Si vous disposez de l'autorisation IAM de créer des politiques et des autorisations, vous ne pouvez accorder que le niveau d'accès dont vous disposez en tant qu'utilisateur du service cible. Par exemple, si vous disposez d'un accès spectateur pour le service cible, vous ne pouvez attribuer que le rôle de spectateur pour l'autorisation. Si vous tentez d'attribuer une autorisation plus élevée, telle qu'administrateur, il peut sembler que l'autorisation est accordée, mais seule l'autorisation la plus élevée que vous avez pour le service cible, c'est-à-dire spectateur, sera attribuée.

Pour restreindre l'accès à un seul compartiment, vérifiez que l'utilisateur ou l'ID de service n'a pas de règles de niveau d'instance.

Surveillance de la santé d'un compartiment

Vous pouvez utiliser le service IBM Cloud® Monitoring pour surveiller Object Storage (COS) dans le IBM Cloud. En savoir plus.

Commandes CLI de gestion des compartiments

Les commandes suivantes peuvent être utiles lorsque vous utilisez deux compartiments :

Vérifier qu'il existe un compartiment dans votre compte via l'interface de ligne de commande

Exécutez la commande suivante pour déterminer si un compartiment existe dans une instance IBM Cloud Object Storage de votre compte :

ibmcloud cos bucket-head --bucket BUCKET_NAME

Où BUCKET_NAME correspond au nom du compartiment.