Community

Blog Events Webinars Tutorials Forum
  1. Blog
  2. Events
  3. Webinars
  4. Tutorials
  5. Forum
Create Account
×
Community Blog Tạo tài khoản RAM Accesskey để truy cập Edge Object Storage (EOS)

Tạo tài khoản RAM Accesskey để truy cập Edge Object Storage (EOS)

Tạo tài khoản RAM, lấy AK/SK để sử dụng SDK truy cập bucket, đảm bảo bảo mật, phân quyền tối thiểu.

Mục tiêu

Chúng ta cần tạo tài khoản RAM, lấy cặp Access Key/Secret Key (AK/SK), để sử dụng công cụ lập trình SDK/CLI truy cập vào Edge Object Storage (EOS).

Yêu cầu: chỉ được truy cập vào bucket chỉ định, cấm truy cập vào các bucket khác.

Giả sử đã có sẵn bucket tên là "trollvn", chúng ta sẽ tạo thêm User và Policy cũng trùng tên là "trollvn"

bucket: trollvn
user: trollvn
policy: trollvn

1

Tạo Policy

Lấy số UUID tài khoản, bằng cách di chuột vào ảnh avatar, ví dụ:

UUID: 5662315141071758

2

Truy cập trang Resource Access Management (RAM), tìm kiếm trang này tên ô search

3

Trên menu bên trái, chọn mục Policies, click nút Create Policy

4

Chuyển qua tab JSON, nhập nội dung policy cú pháp policy tương tự Amazon Resource Names (ARNs), click nút "Next to edit policy information"

5

Ví dụ policy như dưới đây

{
"Version": "1",
"Statement": [{
  "Resource": [
    "acs:ens:*:5662315141071758:trollvn",
    "acs:ens:*:5662315141071758:trollvn/*"
  ],
  "Effect": "Allow",
  "Action": [
    "ens:GetOssUsageData",
    "ens:PutBucketLifecycle",
    "ens:PutBucketNotification",
    "ens:DeleteBucketNotification",
    "ens:GetBucket",
    "ens:GetBucketLocation",
    "ens:GetBucketAcl",
    "ens:PutBucketAcl",
    "ens:GetObjectAcl",
    "ens:PutObjectAcl",
    "ens:GetObject",
    "ens:PutObject",
    "ens:MultipartUpload",
    "ens:InitiateMultipartUpload",
    "ens:UploadPart",
    "ens:UploadPartCopy",
    "ens:CompleteMultipartUpload",
    "ens:AbortMultipartUpload",
    "ens:ListMultipartUploads",
    "ens:ListParts",
    "ens:CopyObject",
    "ens:AppendObject",
    "ens:GetObjectMeta",
    "ens:PutSymlink",
    "ens:GetSymlink",
    "ens:HeadObject",
    "ens:PutBucketWebsite",
    "ens:PutBucketCors",
    "ens:GetBucketCors",
    "ens:GetBucketLifecycle",
    "ens:ListObjects",
    "ens:DeleteObject",
    "ens:DeleteMultipleObjects",
    "ens:PrepareUpload",
    "ens:PutBucket",
    "ens:GetBucketWebsite",
    "ens:DeleteBucketLifecycle",
    "ens:DeleteBucketWebsite",
    "ens:DeleteBucketCors",
    "ens:DeleteObjects",
    "ens:GetEosNodeInfo",
    "ens:PutEventNotification",
    "ens:ListEventNotifications",
    "ens:DeleteEventNotification",
    "ens:GetOssStorageAndAccByBuckets",
    "ens:GetOssStorageAndAcc",
    "ens:GetBucketInfo"
]}]}

Khối Resource: khoanh vùng tác động đúng bucket, hoặc chi tiết hơn nữa đến từng prefix, cho phép sử dụng ký tự đại diện * .Trong đó, 5662315141071758 là số UUID của tài khoản gốc, trollvn là tên bucket; hãy thay đổi chúng cho phù hợp

acs:ens:*:5662315141071758:trollvn
acs:ens:*:5662315141071758:trollvn/*

Khối Action: liệt kê các quyền được cấp phép

ens:ListObjects: Quyền đọc (liệt kê)
ens:HeadObject: Quyền đọc (kiểm tra)
ens:GetObject: Quyền đọc (tải về)
ens:PutObject: Quyền ghi (tải lên)
ens:DeleteObjects: Quyền ghi (xóa)

Đặt tên cho policy, click nút OK để xác nhận

6

Tạo User

Trở về trang chủ RAM, chọn mục Users trên menu bên trái, click nút "Create User"

7

Đặt tên cho User, chọn mode "Open API Access" để nhận cặp AK/SK. Chỉ sử dụng Access key bằng dòng lệnh, không bao giờ dùng tài khoản này đăng nhập Web, vì vậy không chọn "Console Access". Click OK để xác nhận

8

Lưu lại AK/SK được tự động tạo ra

9

Ví dụ thu được AK/SK

User Logon Name trollvn@5662315141071758.onaliyun.com
AccessKey ID LTAI5tKU4AYqCXCJAWUSn45p
AccessKey Secret v5UV3FB2gNDEumXiEc6Bwg5DQtUml9

Gắn Policy vào User

Trở về trang chủ RAM, chọn mục Users trên menu bên trái, tìm kiếm user mới tạo, click vào xem chi tiết user đó

10

Chuyển tab Permissions, click nút "Grant Permission"

11

Tìm kiếm Policy đã tạo trước đó, click nút xác nhận

12

Thông báo đã gắn quyền thành công cho user

13

Kiểm tra lại

Dùng câu lệnh sử dụng AK/SK xem đã truy cập được bucket chưa

ossutil \
  -i LTAI5tKU4AYqCXCJAWUSn45p \
  -k v5UV3FB2gNDEumXiEc6Bwg5DQtUml9 \
  -e eos.aliyuncs.com \
  ls oss://trollvn

14

Để tải về tool CLI, gõ lệnh sau

sudo -v ; curl https://gosspublic.alicdn.com/ossutil/install.sh | sudo bash
ossutil --version

Như vậy chúng ta đã hoàn thành tạo tài khoản RAM, lấy AK/SK để sử dụng SDK truy cập bucket, thỏa mãn yêu cầu bảo mật, phân quyền tối thiểu.

Storage Service
0 0 0
Share on

Read previous post:

Program Shortcut Send Command In Jinja2 Template To ECS Without Internet Connection

Read next post:

Cài đặt Database Neo4j bằng Docker Compose, mã hóa SSL

quangnn

8 posts | 0 followers

You may also like

Comments

quangnn

8 posts | 0 followers

Related Products

More Posts by quangnn

See All