需求: 云平台面板上需要支持为不同的用户创建不同的RGW 的AK/SK用户秘钥,以完成对象存储的用户隔离,并可以管理bucket和查看bucket容量信息。
分析:查阅CEPH官网文档 S3 API 没有用户管理的功能,而Admin Ops API有这个用户管理功能。 根据文档管理API的鉴权方式和S3的鉴权方式一致。
而使用Admin Ops API的要点是要创建一个admin用户并赋予user管理的相关权限,这是文档中没有描述的,经过深入思考和分析,我才得到这个秘诀。
实现:
1. 创建admin用户,得到AK/SK。
命令: radosgw-admin user create --uid admin --display_name admin
2. 赋予admin用户 user usage bucket 读写权限,这样就可以
命令:radosgw-admin caps add --uid=admin --caps="users=read, write; usage=read,write;buckets=read, write"
3. 使用S3提供的sdk 如java sdk/python sdk中的鉴权方法和步骤1中的AK/SK 调用Admin Ops API
https://github.com/aws/aws-sdk-java/tree/master/aws-java-sdk-s3
可以参考如下2个语言的SDK实现,实现java/其他语言的 rgw admin的接口。
python rgwadmin sdk: https://pypi.python.org/pypi/rgwadmin/1.1.5
node js rgwadmin sdk: https://github.com/tobilg/ceph-admin-ops-client