2.3.11.3. 为 OpenID Connect 供应商创建用户
要在 Ceph 对象网关和 OpenID Connect 供应商间建立信任,请创建一个用户实体和角色信任策略。
先决条件
- Ceph 对象网关节点的用户级访问权限。
流程
创建新 Ceph 用户:
语法
radosgw-admin --uid USER_NAME --display-name "DISPLAY_NAME" --access_key USER_NAME --secret SECRET user create
示例
[user@rgw ~]$ radosgw-admin --uid TESTER --display-name "TestUser" --access_key TESTER --secret test123 user create
配置 Ceph 用户功能:
语法
radosgw-admin caps add --uid="USER_NAME" --caps="oidc-provider=*"示例
[user@rgw ~]$ radosgw-admin caps add --uid="TESTER" --caps="oidc-provider=*"
使用 Secure Token Service(STS)API 在角色信任策略中添加条件:
语法
"{\"Version\":\"2020-01-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Federated\":[\"arn:aws:iam:::oidc-provider/IDP_URL\"]},\"Action\":[\"sts:AssumeRoleWithWebIdentity\"],\"Condition\":{\"StringEquals\":{\"IDP_URL:app_id\":\"AUD_FIELD\"\}\}\}\]\}"重要上述语法示例中的
app_id必须与传入令牌的AUD_FIELD字段匹配。
其它资源
- 有关 Amazon 网站上的 OpenID Connect 身份提供商文章,请参阅 Obtaining Root CA Thumbprint。
- 有关 STS API 的详情,请参阅 Red Hat Ceph Storage 开发者指南中的安全令牌服务应用程序接口 部分。
- 如需了解更多详细信息,请参阅 Red Hat Ceph Storage 开发者指南中的使用 安全令牌服务 API 部分的示例。
