IBM Cloud Docs
Limitación del acceso a un único cubo Object Storage mediante la interfaz de usuario

Limitación del acceso a un único cubo Object Storage mediante la interfaz de usuario

IBM Cloud Los grupos de recursos y las políticas de acceso de IAM permiten a los administradores restringir el acceso de los usuarios a varias instancias de servicio. Pero, ¿qué ocurre si utiliza la interfaz de usuario IBM Cloud y solo necesita acceder a un número limitado de buckets dentro de una instancia de servicio? Esto puede lograrse utilizando un rol personalizado y una política IAM específica.

Este tutorial proporciona una introducción a la concesión de acceso a un único Object Storage bucket para un usuario que necesita utilizar la IBM Cloud para acceder al bucket.

Si no está familiarizado con IBM Cloud® Object Storage, puede obtener rápidamente una visión general empezando con IBM Cloud Object Storage. Además, si no está familiarizado con IAM, puede consultar cómo empezar con IAM.

Antes de empezar

Si ya está gestionando instancias de Object Storage o IAM, no necesita crear más. Sin embargo, como este tutorial modificará y configurará la instancia con la que está trabajando, asegúrese de que no se estén utilizando cuentas o servicios en un entorno de producción.

Este tutorial creará una nueva política de acceso y un nuevo rol personalizado en el proceso.

Para este tutorial, necesitas:

  • Una IBM Cloud® Cuenta de la plataforma
  • Una instancia de IBM Cloud Object Storage. Si no dispone de una instancia COS, puede crear una. Para los propósitos de este tutorial, nombre la instancia COS-BUCKET-LIMIT-EX.
  • Cubo al que debe limitarse un usuario. Si ha creado una nueva instancia para el tutorial, cree varios buckets después de haber creado la instancia COS. El tutorial describirá cómo proporcionar acceso sólo a uno de los buckets de la instancia de servicio COS.
  • Para completar los pasos para gestionar el acceso al servicio, su ID de usuario necesita permisos de plataforma de administrador para configurar la política de IAM. Es posible que tenga que ponerse en contacto o trabajar con un administrador de cuentas.

Proporcionar acceso a nivel de cubo a los usuarios individuales

  1. Crea un rol personalizado COS Service (llámalo COS ListBucketsInAccount, por ejemplo) y asigna la acción cloud-object-storage.account.get_account_buckets a este rol personalizado.

  2. Crea un Grupo de Acceso IAM y llámalo BUCKET_ACCESS_GROUP_1, por ejemplo.

  3. En ese nuevo grupo de acceso, crea una política de acceso a nivel de instancia para la instancia COS-BUCKET-LIMIT-EX, y asigna el rol de plataforma Viewer y el rol personalizado que acabas de crear, COS ListBucketsInAccount.

  4. En el mismo grupo de acceso, cree una política de acceso a nivel de bucket para uno de los buckets de la instancia y asigne los roles de servicio COS Content Reader y Object Writer.

    Los niveles de acceso que quieras aquí van a determinar los roles que especifiques. Este ejemplo es para una lista de objetos mínima, y carga y descarga en un solo cubo. Para obtener más información, consulte: Asignación de acceso a un cubo individual

  5. Invitar a un usuario a la cuenta.

  6. Una vez que el usuario haya aceptado la invitación a la cuenta, añádelo al grupo de acceso BUCKET_ACCESS_GROUP_1.

  7. Ahora, cuando el usuario inicie sesión, si ya es miembro de otras cuentas IBM Cloud®, asegúrese de que selecciona la cuenta IBM Cloud® correcta en el selector de cuentas de la cabecera de la consola.

  8. Una vez que el usuario ha seleccionado la cuenta correcta en el selector de cuenta, el usuario sólo ve una instancia COS en la vista de recursos de la consola, COS-BUCKET-LIMIT-EX.

  9. Seleccione la instancia.

Ambos buckets aparecen en la lista, pero los usuarios sólo podrán listar objetos en el bucket al que se les ha dado acceso y, en función de los accesos proporcionados, descargar objetos de ese bucket y subir objetos a ese bucket.

El usuario puede aparecer para seleccionar el otro cubo, pero no puede listar objetos, no puede descargar objetos, y no puede cargar a ese otro cubo, y así sucesivamente.

Próximos pasos

Enhorabuena, acabas de configurar una política para limitar el acceso de los usuarios a un único bucket cuando deban utilizar la interfaz de usuario IBM Cloud para su acceso.