管理者向けの情報
ストレージおよびシステム管理者は、 IBM Cloud® Object Storageユーザーの管理、API キーの作成とローテーション、ユーザーとサービスへのロールの付与を簡単に行うことができます。
『入門チュートリアル』をまだお読みでない場合は、このページに目を通し、バケット、オブジェクト、およびユーザーについての中心概念を理解してください。
ストレージの設定
最初に、少なくとも 1 つのオブジェクト・ストレージ・リソース・インスタンスと、データを保管するためのバケットをいくつか用意する必要があります。 データへのアクセスをどのようにセグメント化しますか? データが物理的にどこにあるようにしますか? データはどのくらいの頻度でアクセスされますか?
アクセスのセグメント化
アクセスをセグメント化できるレベルには、リソース・インスタンス・レベルとバケット・レベルの 2 つがあります。
開発チームのみがオブジェクト・ストレージの特定のインスタンスにアクセスできるようにすることができます。 または、チームが作成しているアプリケーションのみが保存されているデータを編集できるようにしたい場合。 あるいは、クラウド・プラットフォームへのアクセス権限を持つ開発者がトラブルシューティング目的でデータを読み取ることのみでき、変更はできないようにすることができます。 以下に、サービス・レベル・ポリシーの例を示します。
では、開発チームまたは個別ユーザーがストレージ・インスタンスへのビューアー権限を持っているが、1 つまたは複数のバケット内のデータを直接編集できる必要がある場合、どうなるでしょうか? バケット・レベルのポリシーを使用して、アカウント内のユーザーに付与されるアクセス権限のレベルを上げることができます。 例えば、あるユーザーは新規バケットを作成することはできないが、既存のバケット内のオブジェクトの作成および削除を行うことができるといったことが可能です。
アクセス権限の管理
IAMは、基本的な概念に基づいています。主題_付与される_役割_に_リソース。
科目には2つの基本的な種類があります。ユーザー_そして_サービスID 。
もう一つの概念があります。サービス認証情報。 サービス資格情報は、IBM Cloud® Object Storage のインスタンスに接続するために必要な重要情報の集合です。 これは、ユーザーに、IBM Cloud Object Storage のインスタンスの ID (つまり、リソース・インスタンス ID)、サービス・エンドポイントおよび許可エンドポイント、および、サブジェクトと API キーを関連付ける手段 (つまり、サービス ID) を提供します。 サービス資格情報を作成するときには、それを既存のサービス ID と関連付けるか、新しいサービス ID を作成するかを選択できます。
開発チームがオブジェクト・ストレージ・インスタンスおよび Kubernetes クラスターをコンソールを使用して表示できるようにすることができます。 その場合、チーム・メンバーには、オブジェクト・ストレージ・リソースに対する Viewer 役割とコンテナー・サービスに対する Administrator 役割が必要になります。 Viewer 役割がユーザーに許可するのは、インスタンスの存在を確認すること、および既存の資格情報を表示することのみであり、バケットおよびオブジェクトを表示することは許可しません。
サービス資格情報は作成されるときにサービス ID と関連付けられます。 このサービス ID は、バケットおよびオブジェクトを作成および削除できるためには、インスタンスに対する Manager 役割または Writer 役割を持っている必要があります。
IAM 役割および許可について詳しくは、IAM 概要を参照してください。