2.3.11.3. OpenID Connect 공급자의 사용자 생성
Ceph Object Gateway와 OpenID Connect 공급자 간에 신뢰를 구축하기 위해 사용자 엔티티와 역할 신뢰 정책을 생성합니다.
사전 요구 사항
- Ceph Object Gateway 노드에 대한 사용자 수준 액세스.
절차
새 Ceph 사용자를 생성합니다.
구문
radosgw-admin --uid USER_NAME --display-name "DISPLAY_NAME" --access_key USER_NAME --secret SECRET user create
예제
[user@rgw ~]$ radosgw-admin --uid TESTER --display-name "TestUser" --access_key TESTER --secret test123 user create
Ceph 사용자 기능을 구성합니다.
구문
radosgw-admin caps add --uid="USER_NAME" --caps="oidc-provider=*"예제
[user@rgw ~]$ radosgw-admin caps add --uid="TESTER" --caps="oidc-provider=*"
STS(Secure Token Service) API를 사용하여 역할 신뢰 정책에 조건을 추가합니다.
구문
"{\"Version\":\"2020-01-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Federated\":[\"arn:aws:iam:::oidc-provider/IDP_URL\"]},\"Action\":[\"sts:AssumeRoleWithWebIdentity\"],\"Condition\":{\"StringEquals\":{\"IDP_URL:app_id\":\"AUD_FIELD\"\}\}\}\]\}"중요위의 구문 예제의
app_id는 들어오는 토큰의AUD_FIELD필드와 일치해야 합니다.
추가 리소스
- Amazon 웹 사이트 의 OpenID Connect ID 공급자 문서를 보려면 루트 CA Thumbprint 를 참조하십시오.
- STS API에 대한 자세한 내용은 Red Hat Ceph Storage 개발자 가이드 의 보안 토큰 서비스 애플리케이션 프로그래밍 인터페이스 섹션을 참조하십시오.
- 자세한 내용은 Red Hat Ceph Storage 개발자 가이드 의 보안 토큰 서비스 API 섹션을 참조하십시오.
