Hyppää sisältöön

Docs CSC now features an automatic Finnish translation. Click here for more information.

Warning!

Puhti and Mahti will be decommissioned after Roihu becomes available. Users should clean up unnecessary files and move any required data by the end of August 2026. See the Roihu data preparation instructions for details.

Puhti scratch is very full: keep only active data there and move or delete everything else. No new Puhti scratch quota will be granted.

Sovellustunnisteet

Tarvitset sovellustunnisteita, jos aiot käyttää palvelun APIa tai OpenStackin komentorivityökaluja. Jos et aio käyttää APIa tai komentorivityökaluja, et todennäköisesti tarvitse sovellustunnisteita.

Sovellustunnisteet ovat myös erittäin hyödyllisiä, kun haluat luoda tunnisteita rajatuilla käyttöoikeuksilla. Voit luoda tunnisteita, joilla saa vain hakea projektisi dataa. Voit myös luoda tunnisteita, jotka voivat muokata vain tiettyä instanssia tai luoda uusia instansseja. On myös mahdollista luoda tunnisteita, jotka voivat tehdä kaiken sen, mihin sinulla itselläsi on oikeudet.

On tärkeää muistaa, että sovellustunnisteet ovat henkilökohtaisia, mikä tarkoittaa, että ne kuuluvat käyttäjätilille ja kaikki tunnisteilla tehtävät toiminnot tehdään sen käyttäjän puolesta, joka loi tunnisteet. Tämä tarkoittaa, että jos käyttäjä poistetaan projektista, kyseisen käyttäjän tunnisteet lakkaavat toimimasta.

Sovellustunnisteiden luominen

  1. Siirry Pukin selainkäyttöliittymään.
  2. Valitse projekti, jota haluat käyttää. (Näet vain ne projektit, joissa DBaaS on aktivoitu my.csc.fi:ssä.)
  3. Siirry kohtaan Identity -> Application Credentials.

  4. Paina Create Application Credential. Valintaikkuna avautuu.

    Create Application Credential

  5. On hyvä valita kuvaava name ja description. Muuten saatat myöhemmin hämmentyä siitä, miksi sovellustunnisteet on luotu. Ensimmäiset tunnisteesi voi olla hyvä nimetä esimerkiksi Testing application credentials $TODAYS_DATE.

  6. Secret-kentässä tulisi olla pitkä satunnainen merkkijono, joka tulee pitää salassa. Jos jätät tämän tyhjäksi, palvelu luo salaisuuden puolestasi; tämä on todennäköisesti suositeltava tapa.
  7. On hyvä asettaa expiration date, erityisesti jos testaat tunnisteita vain tämän päivän ajan.
  8. Roolivaihtoehtoja on kaksi, reader ja member. Yleensä kannattaa käyttää member-roolia. Lisätietoja on kohdassa Roolien käyttö.
  9. Access rules ovat hyödyllisiä, kun haluat tehdä tunnisteita tarkkarajaisilla käyttöoikeuksilla. Tämä on erityisen hyödyllistä, jos haluat rakentaa paljon automaatiota tietokantojesi ympärille. Voit esimerkiksi tehdä skriptin, jolla saa muokata vain tietyn tietokannan käyttäjiä, tai tunnisteet, joilla saa luoda vain uusia instansseja. Lisätietoja vaihtoehdoista on kohdassa Käyttösääntöjen käyttö.
  10. Valintaruutu Unrestricted (dangerous) sallii sovellustunnisteidesi luoda uusia sovellustunnisteita. Tästä voi olla hyötyä, jos olet komentorivin tehokäyttäjä, mutta sovellukselle tai automaatiolle ei todennäköisesti kannata antaa tunnisteita, joilla on tämä oikeus.

  11. Kun olet luonut sovellustunnisteet, voit joko ladata ne tiedostona, jonka voit sourceta, tai .yaml-tiedostona, tai vaihtoehtoisesti lisätä salaisuuden salaisuuksien hallintaasi. Salaisuusavainta ei voi enää lukea sen jälkeen, kun tunnisteen luontiprosessi on valmis. Jos lataat sovellustunnisteet, saat tiedoston, joka sisältää esimerkiksi seuraavaa:

    #!/usr/bin/env bash

export OS_AUTH_TYPE=v3applicationcredential
export OS_AUTH_URL=https://pukki.dbaas.csc.fi:5000/v3
export OS_IDENTITY_API_VERSION=3
export OS_REGION_NAME="pukki_dbaas"
export OS_INTERFACE=public
export OS_APPLICATION_CREDENTIAL_ID=xxxxxxxxxxxxxxxxxxxxxx
export OS_APPLICATION_CREDENTIAL_SECRET=xxxxxxxxxxxxxxxxxxx

    Jos sourcetat tiedoston, voit käyttää sitä yhdessä OpenStackin komentorivityökalujen kanssa.

  12. On hyvä testata, että sovellustunnisteilla saa tehdä juuri sen, mitä odotat niiden sallivan. On myös hyvä varmistaa, että niillä EI saa tehdä sitä, mitä odotat niiden estävän.

Roolien käyttö

Saatavilla on kaksi roolia: reader ja member. reader on vain luku -rooli, kun taas member saa tehdä muutoksia projektiisi.

  • reader-rooli voi vain kerätä dataa projektistasi eikä tehdä muutoksia. Tämä on hyvä vaihtoehto, jos haluat luoda skriptin, joka tarkistaa palveluidesi tilan. Joskus on kätevää käyttää päivittäisissä tiedonkeruutehtävissä oletusarvoista reader-tunnusta, jotta voit olla varma, ettet voi suorittaa tuhoavia komentoja.
  • member-rooli on tavallinen käyttäjärooli. Se voi tehdä kaiken, mitä reader-rooli voi, mutta lisäksi se voi tehdä muutoksia järjestelmään. Kun kirjaudut selainkäyttöliittymään, käytössäsi on member-rooli.

Käyttösääntöjen käyttö

On mahdollista luoda sovellustunnisteita, jotka on rajattu tekemään vain valittuja API-kutsuja. Selvittääksesi, mitä API-kutsuja on saatavilla, voit tutustua dokumentaatioon OpenStack Database API.

Esimerkiksi jos haluat luoda sovellustunnisteet, joilla on oikeus vain listata instanssisi, voit lisätä seuraavan oikeuden:

- service: database
  method: GET
  path: /v1.0/*/instances

Huomautus

Jokerimerkki * voidaan halutessasi korvata projektitunnuksellasi.

Tällä oikeudella saat tehdä vain komennon openstack database instance list. Sovellustunnisteella voi olla niin monta oikeutta kuin haluat. Jos haluat pystyä "luomaan", "listaamaan", "näyttämään" ja "poistamaan" tietokantainstansseja, sinun tulee tehdä sovellustunniste esimerkiksi näin:

# Create instance
- service: database
  method: POST
  path: /v1.0/*/instances
# List instance
- service: database
  method: GET
  path: /v1.0/*/instances
# Show instances
- service: database
  method: GET
  path: /v1.0/*/instances/*
# Delete instances
- service: database
  method: DELETE
  path: /v1.0/*/instances/*

On olemassa useita muitakin oikeuksia, jotka saattavat kiinnostaa sinua, katso: OpenStack Database API.

Suomenkielinen tekoälykäännös

Sisällössä voi esiintyä virheellistä tietoa tekoälykäännöksestä johtuen.

Klikkaa tästä antaaksesi palautetta

Ymmärrän.