Ozone은 기본 ACL 집합을 지원합니다. 이러한 ACL은 Ranger와 같은 오존 ACL 플러그인과 독립적으로 사용할 수 있습니다. Ozone 용 Apache Ranger 플러그인이 활성화 된 경우 Ranger에서 ACL을 확인합니다.
오존 ACL은 Posix 및 S3 ACL의 수퍼 세트입니다.
ACL의 일반적인 형식은 object : who : rights 입니다.
어디 객체가 될 수 있습니다 :
- 부피 -오존 부피. 예 : / volume
- 버킷 -오존 버킷. 예 : / volume / bucket
- 키 -개체 키 또는 개체입니다. 예 : / volume / bucket / key
- 접두사 -특정 키의 경로 접두사입니다. 예 : / volume / bucket / prefix1 / prefix2
어디 사람 이 될 수 있습니다 :
- 사용자 -Kerberos 도메인의 사용자입니다. Posix 세계에서와 같은 사용자는 이름이 지정되거나 이름이 지정되지 않을 수 있습니다.
- 그룹 -Kerberos 도메인의 그룹입니다. Posix 세계에서와 같은 그룹은 이름이 지정되거나 이름이 지정되지 않을 수 있습니다.
- World -Kerberos 도메인의 모든 인증 된 사용자. 이것은 Posix 도메인의 다른 사람들에게 매핑됩니다.
- 익명 -사용자 필드를 완전히 무시합니다. 이것은 Posix 의미 체계의 확장입니다. 이것은 S3 프로토콜에 필요하며, 사용자가 누구인지 또는 우리가 신경 쓰지 않는다는 것을 알 수있는 방법이 없음을 표현합니다.
AWS v4 서명 프로토콜을 통해 Ozone에 액세스하는 S3 사용자는 Ozone Manager에 의해 적절한 Kerberos 사용자로 변환됩니다.
어디 권리 가 될 수 있습니다
- 생성 –이 ACL은 사용자에게 볼륨에 버킷을 생성하고 버킷에 키를 생성 할 수있는 기능을 제공합니다. 참고 : Ozone에서는 관리자 만 볼륨을 생성 할 수 있습니다.
- 목록 –이 ACL은 버킷 및 키 목록을 허용합니다. 이 ACL은 하위 객체 목록을 허용하는 볼륨 및 버킷에 연결됩니다. 참고 : 사용자와 관리자는 사용자가 소유 한 볼륨을 나열 할 수 있습니다.
- 삭제 – 사용자가 볼륨, 버킷 또는 키를 삭제할 수 있습니다.
- 읽기 – 사용자가 볼륨 및 버킷의 메타 데이터와 키의 데이터 스트림 및 메타 데이터를 읽을 수 있습니다.
- 쓰기 -사용자가 볼륨 및 버킷의 메타 데이터를 쓸 수 있고 사용자가 기존 오존 키를 덮어 쓸 수 있습니다.
- Read_ACL – 사용자가 특정 개체에 대한 ACL을 읽을 수 있습니다.
- Write_ACL – 사용자가 특정 개체에 ACL을 쓸 수 있습니다.
오존 네이티브 ACL API
ACL은 Ozone에서 지원하는 API 세트로 조작 할 수 있습니다. 지원되는 API는 다음과 같습니다.
- SetAcl –이 API는 사용자 주체, 이름, 오존 개체 유형 및 ACL 목록을 가져옵니다.
- GetAcl –이 API는 오존 개체의 이름과 유형을 가져와 ACL 목록을 반환합니다.
- AddAcl- 이 API는 오존 객체의 이름, 유형, ACL을 가져 와서 오존 객체의 기존 ACL 항목에 추가합니다.
- RemoveAcl- 이 API는 오존 개체의 이름, 유형 및 제거해야하는 ACL을 가져옵니다.