2.3.3. STS Lite API を使用した認証(テクノロジープレビュー)
Ceph Object Gateway は、Amazon Secure Token Service (STS) REST API のサブセットのサポートを提供します。STS Lite は、アイデンティティーおよびアクセス管理の一時的な認証情報のセットへのアクセスを提供します。
STS Lite 認証メカニズムは、Ceph Object Gateway の Keystone と統合されます。Amazon Web Services (AWS)の認証情報のセットを Keystone で認証した後に、一時的なセキュリティー認証情報のセットが返されます。STS エンジンは、後続の S3 呼び出しによって行われるこれらの一時的なセキュリティー認証情報を認証し、Keystone サーバーへの負荷が少なくなります。
Ceph Object Gateway は、以下の STS Lite REST API を実装します。
- GetSessionToken
AWS 認証情報のセットの一時的なセキュリティー認証情報のセットを返します。Keystone での初期認証にはこの API を使用し、返された一時的な認証情報を使用して後続の S3 呼び出しを実行できます。一時的な認証情報には、AWS 認証情報と同じパーミッションがあります。
パラメーター:
- DurationSeconds (整数/オプション)
-
認証情報が有効でなければならない期間(秒単位)。デフォルト値は 3600 秒です。最大値は 43200 秒です。この値は、Ceph 設定ファイルの
rgw_sts_max_sessionオプションを使用して設定できます(デフォルトでは/etc/ceph/ceph.confファイル)。 - serialNumber (文字列/オプション)
- GetSessionToken 呼び出しを行うユーザーに関連付けられた Multi-Factor Authentication (MFA)デバイスの ID 番号。
- TokenCode (文字列/オプション)
- MFA デバイスが提供する値(MFA が必要な場合)。
- AssumeRole
アカウント間のアクセスに使用できる一時的な認証情報のセットを返します。一時的な認証情報には、Role に割り当てられたパーミッションと AssumeRole API で割り当てられたポリシーとポリシーの両方が許可されるパーミッションがあります。
パラメーター:
- RoleArn (文字列/必須)
- アサートするロールの Amazon Resource Name (ARN)。
- RoleSessionName (文字列/必須)
想定されるロールセッションの識別子。
- Policy (文字列/オプション):
- JSON 形式の IAM ポリシー。
- DurationSeconds (整数/オプション)
- セッションの期間(秒単位)。デフォルト値は 3600 です。
- externalID (文字列/オプション)
- ロールが別のアカウントで仮定される際に使用される一意の ID。
- serialNumber (文字列/オプション)
- AssumeRole 呼び出しを行うユーザーに関連付けられた MFA デバイスの識別子番号。
- TokenCode (文字列/オプション)
- MFA デバイスによって提供される値(想定されているロールの信頼ポリシーに MFA が必要な場合)。
関連情報
- 詳細は、AWS Security Token Service API Reference ドキュメントを参照してください。
- 詳細は、AWS Identity and Access Management User Guide を参照してください。
