需求: 雲平台面板上需要支持為不同的用戶創建不同的RGW 的AK/SK用戶秘鑰,以完成對象存儲的用戶隔離,並可以管理bucket和查看bucket容量信息。
分析:查閱CEPH官網文檔 S3 API 沒有用戶管理的功能,而Admin Ops API有這個用戶管理功能。 根據文檔管理API的鑒權方式和S3的鑒權方式一致。
而使用Admin Ops API的要點是要創建一個admin用戶並賦予user管理的相關權限,這是文檔中沒有描述的,經過深入思考和分析,我才得到這個秘訣。
實現:
1. 創建admin用戶,得到AK/SK。
命令: radosgw-admin user create --uid admin --display_name admin
2. 賦予admin用戶 user usage bucket 讀寫權限,這樣就可以
命令:radosgw-admin caps add --uid=admin --caps="users=read, write; usage=read,write;buckets=read, write"
3. 使用S3提供的sdk 如java sdk/python sdk中的鑒權方法和步驟1中的AK/SK 調用Admin Ops API
https://github.com/aws/aws-sdk-java/tree/master/aws-java-sdk-s3
可以參考如下2個語言的SDK實現,實現java/其他語言的 rgw admin的接口。
python rgwadmin sdk: https://pypi.python.org/pypi/rgwadmin/1.1.5
node js rgwadmin sdk: https://github.com/tobilg/ceph-admin-ops-client