Configurar
Galexie se ejecuta como un publicador y escribe archivos en buckets, por lo que necesita tener asignados los permisos correctos de cuenta en el bucket para permitir escrituras. Para las aplicaciones cliente que serán consumidoras de archivos en el bucket, se necesitará un conjunto menor de permisos de cuenta para permitir únicamente la actividad de lectura.
Google Cloud Platform (GCP) para GCS
Bucket de Google Cloud Storage (GCS)
Si ya tienes un bucket GCS listo para que Galexie envíe datos, puedes omitir esta sección. Si no, sigue estos pasos:
- Visita la sección de Almacenamiento de la consola de GCP (https://console.cloud.google.com/storage) y crea un nuevo bucket.
- Elige un nombre descriptivo para el bucket, como
stellar-ledger-data. Consulta la Guía de Nomenclatura de Buckets de Google Cloud Storage para las convenciones de nomenclatura de buckets. Anota el nombre del bucket, lo necesitarás más tarde durante el proceso de configuración.
Autenticación de Google Cloud Platform (GCP)
Clúster de Google Kubernetes Engine
Cuando ejecutes Galexie dentro de un clúster GKE, sigue la documentación de Google Cloud sobre la identidad de carga de trabajo para asegurarte de que Galexie tenga el acceso correcto al bucket.
VM de GCP
- Crear una Cuenta de Servicio
- Usa esa Cuenta de Servicio al crear la VM de GCP.
- Asegúrate de que la Cuenta de Servicio tenga el acceso correcto al bucket.
Credenciales (No Recomendado)
Para usar credenciales estáticas, encuentra la ruta de autenticación que mejor funcione en el entorno de Galexie y sigue la documentación de Google Cloud sobre crear credenciales, asegurándote de que el principal de las credenciales tenga acceso al bucket correcto.
Permisos del Rol IAM
Al usar IAM de GCP para autenticar a Galexie para acceder a un bucket, se requieren los siguientes permisos:
- storage.buckets.get
- storage.buckets.list
- storage.multipartUploads.abort
- storage.multipartUploads.create
- storage.multipartUploads.list
- storage.multipartUploads.listParts
- storage.objects.create
- storage.objects.delete
- storage.objects.get
- storage.objects.list
- storage.objects.restore
- storage.objects.update
Amazon Web Services (AWS) para S3
Bucket de Amazon Simple Storage Service (S3)
Si ya tienes un bucket S3 listo para que Galexie envíe datos, puedes omitir esta sección. Si no es así, sigue estos pasos:
- Visita la sección de Storage de la consola de AWS (https://console.aws.amazon.com/s3/) y crea un nuevo bucket.
- Elige un nombre descriptivo para el bucket, como
stellar-ledger-data. Consulta las reglas generales para nombrar buckets en S3. Anota el nombre del bucket, lo necesitarás más adelante durante el proceso de configuración.
Autenticación de Amazon Web Services (AWS)
Clúster EKS
Cuando ejecutes Galexie dentro de un clúster EKS, sigue la documentación de AWS sobre roles IAM para cuentas de servicio o identidad de pod.
AWS EC2
- Crear un Rol IAM
- Usa ese rol en un perfil de instancia.
- Usa ese perfil de instancia para la creación de la instancia EC2.
- Asegúrate de que el perfil de instancia tenga el acceso correcto al bucket.
Credenciales (No Recomendado)
Para usar credenciales estáticas, crea un usuario IAM para Galexie asegurándote de que el principal de las credenciales tenga acceso al bucket correcto y genera las credenciales de seguridad.
Permisos del Rol IAM
Al usar AWS IAM para autenticar a Galexie para acceder a un bucket, usa esta política de ejemplo asegurándote de usar el destino correcto del bucket:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowS3BucketOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:ListBucketMultipartUploads"
],
"Resource": "arn:aws:s3:::my-galexie-bucket-example"
},
{
"Sid": "AllowS3ObjectAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": ["arn:aws:s3:::my-galexie-bucket-example/*"]
}
]
}