IBM Cloud Docs
Daten mit kontextbasierten Einschränkungen schützen

Daten mit kontextbasierten Einschränkungen schützen

In diesem Lernprogramm erstellen Sie kontextbasierte Beschränkungen, die den Zugriff auf Objektspeicherdaten verhindern, sofern die Anforderung nicht aus einer vertrauenswürdigen Netzzone stammt.

Vorbereitende Schritte

Bevor Sie die Verwendung kontextbasierter Einschränkungen mit Cloud Object Storage-Buckets planen, benötigen Sie Folgendes:

Zur Konsole für kontextbasierte Einschränkungen navigieren

Wählen Sie im Menü Verwalten die Option Kontextbasierte Einschränkungen aus.

Zur CBR navigieren
Zur CBR navigieren

Neue Regel erstellen

  1. Klicken Sie auf Regeln.
  2. Wählen Sie einen Namen für die Regel. Dies trägt dazu bei, dass die Dinge organisiert bleiben, wenn Sie am Ende eine Vielzahl unterschiedlicher Regeln für alle Ihre Cloud-Services haben.
  3. Klicken Sie auf Weiter.

Name der Regel
Name der Regel

Geltungsbereich der Regel festlegen

Jetzt können Sie die Objektspeicherressourcen auswählen, auf die Sie die kontextbasierten Einschränkungen anwenden möchten. Dies kann so spezifisch oder generisch werden, wie Sie möchten-Sie können die Regel auf alle Objektspeicherinstanzen und Buckets, auf eine bestimmte Serviceinstanz oder sogar auf ein bestimmtes Bucket anwenden. Außerdem können Sie auswählen, welche Netze (öffentlich, privat oder direkt) eingeschlossen werden sollen.

In diesem Beispiel wählen wir eine Serviceinstanz aus.

  1. Wählen Sie IAM-Services aus.
  2. Wählen Sie im Dropdown-Menü Cloud Object Storage aus.
  3. Wählen Sie das Optionsfeld Ressourcen basierend auf bestimmten Attributen aus.
  4. Aktivieren Sie das Kontrollkästchen Serviceinstanz.
  5. Wählen Sie die Serviceinstanz aus, auf die sich die Regel auswirken soll.

Geltungsbereich der Regel
Geltungsbereich der Regel

Wenn Sie stattdessen nur den Zugriff auf ein bestimmtes Bucket beschränken wollen, können Sie stattdessen das Kontrollkästchen Ressourcen-ID aktivieren. Geben Sie den Namen des Buckets im Feld an. Es ist nichts anderes erforderlich.

Netzzone erstellen

Jetzt, da wir wissen, was die Regel betrifft, müssen wir entscheiden, was die Regel zulässt. Dazu wird eine neue Netzzone erstellt und auf die neue Regel angewendet.

  1. Klicken Sie auf Erstellen +.

Geltungsbereich der Regel
Geltungsbereich der Regel

  1. Geben Sie dem Netzbereich einen hilfreichen Namen und eine Beschreibung.
  2. Fügen Sie einige IP-Bereiche zum Textfeld Zulässige IP-Adressen hinzu.
  3. Klicken Sie auf Weiter.

Geltungsbereich der Regel
Geltungsbereich der Regel

Beenden Sie die Regel und stellen Sie sicher, dass sie funktioniert.

Schließlich müssen Sie nur noch auf Create klicken, damit die neue Regel aktiv wird.

Eine einfache Methode, um zu überprüfen, ob sie funktioniert, ist das [Senden eines einfachen CLI-Befehls] von außerhalb der zulässigen Netzzone, z. B. einer Bucketliste (ic cos buckets). Er schlägt mit dem Fehlercode 403 fehl.

Nächste Schritte

Weitere Informationen zu kontextbasierten Einschränkungen und deren Beziehung zu traditionellen Bucket-Firewalls.