詳細なアクセス・コントロールのMarbleサンプル

Marbleチェーンコード・アプリケーションを使用すると、一意の属性(名前、サイズ、色および所有者)を持つアセット(marble)を作成し、これらのアセットをブロックチェーン・ネットワークの他の参加者とやり取りできます。

このサンプル・アプリケーションには様々な関数が用意されており、特定のユーザーに関数を制限するために、アクセス制御リストやグループをどのように使用するかを確認できます。

サンプルの概要

サンプルに含まれているテスト・シナリオには、アセットを管理するために次の制限があります:

  • 赤のmarbleの一括転送が許可されるのは、redMarblesTransferPermissionファブリック属性を持つIDのみです。
  • 青のmarbleの一括転送が許可されるのは、blueMarblesTransferPermissionファブリック属性を持つIDのみです。
  • marbleの削除が許可されるのは、deleteMarblePermissionファブリック属性を持つIDのみです。

これらの制限は、fgMarbles_chaincode.goチェーンコードに次のライブラリ・メソッドを実装することで強制されます:

  • bulkMarblesTransferGroupというファイングレインACLグループを作成します。このグループには、色に基づいてmarbleを転送できるすべてのIDを定義します(一括転送):
    createGroup(stub, []string{" bulkMarblesTransferGroup", 
"List of Identities allowed to Transfer Marbles in Bulk", 
"%ATTR%redMarblesTransferPermission=true, %ATTR%blueMarblesTransferPermission=true", ".ACLs"})
  • bulkMarblesTransferGroupに赤いmarbleの一括転送アクセス権を付与するredMarblesAclというファイングレインACLを作成します:
    createACL(stub, []string{"redMarblesAcl", 
"ACL to control who can transfer red marbles in bulk", 
"redMarblesTransferPermission", "%GRP%bulkMarblesTransferGroup", "true", ".ACLs"})
  • bulkMarblesTransferGroupに青いmarbleの一括転送アクセス権を付与するblueMarblesAclというファイングレインACLを作成します:
    createACL(stub, []string{"blueMarblesAcl", 
"ACL to control who can transfer blue marbles in bulk", 
"blueMarblesTransferPermission", "%GRP%bulkMarblesTransferGroup", "true", ".ACLs"})
  • deleteMarbleAclというファイングレインACLを作成し、canDeleteMarble=trueファブリック属性に基づいてmarbleの削除を制限します:
    createACL(stub, []string{"deleteMarbleAcl", 
"ACL to control who can Delete a Marble", 
"deleteMarblePermission", "%ATTR%deleteMarblePermission=true", "true", ".ACLs"})
  • marbleというファイングレインACLリソースを作成し、作成した各種ACLを使用して操作を制御します:
    createResource(stub, []string{"marble", 
"System marble resource", 
"deleteMarbleAcl,blueMarblesAcl,redMarblesAcl,.ACLs"})

前提条件と設定

marblesサンプルのファイングレイン・アクセス・コントロール・バージョンを実行するには、次のステップを実行します:

  1. marbleサンプルのファイングレイン・アクセス・コントロール・バージョンをダウンロードします。「開発者ツール」タブで、「サンプル」ペインを開き、ファイングレンACLを含むMarbleの下にあるダウンロード・リンクをクリックします。このパッケージを抽出します。このパッケージには、marblesサンプルのZIPファイル(fgACL_MarbleSampleCC.zip)、サンプルを実行するNode.jsファイル(fgACL-NodeJSCode.zip)およびファイングレイン・アクセス・コントロール・ライブラリ(Fine-GrainedAccessControlLibrary.zip)が含まれます。
  2. Blockchain Platformにデプロイするチェーンコード・パッケージを生成します:
    • fgACL_MarbleSampleCC.zipファイルの内容をfgACL_MarbleSampleCCディレクトリに抽出します。fgACL_MarbleSampleCCディレクトリのコンテンツは、fgACL_Operations.gofgGroups_Operations.gofgMarbles_chaincode.gofgResource_Operations.goおよびgo.modファイルおよびoracle.comディレクトリになります。
    • コマンドラインから、fgACL_MarbleSampleCCディレクトリに移動し、GO111MODULE=on go mod vendorを実行します。このコマンドは、必要な依存関係をダウンロードし、vendorディレクトリに追加します。
    • fgACL_MarbleSampleCCディレクトリのすべての内容(4つのGoファイル、go.modファイルおよびvendorディレクトリとoracle.comディレクトリ)をZIP形式で圧縮します。これで、チェーンコードをブロックチェーン・プラットフォームにデプロイできます。
  3. 「クイック・デプロイメントの使用」の説明に従って、更新されたサンプルのチェーンコード・パッケージ(fgACL_MarbleSampleCC.zip)をインストールしてデプロイします。
  4. 「開発者ツール」タブで、「アプリケーション開発」ペインを開き、手順に従ってNode.js SDKをダウンロードします。
  5. 「開発者ツール」タブで、「アプリケーション開発」ペインを開き、開発パッケージのダウンロードをクリックします。
    1. サンプルと一緒にダウンロードしたNode.jsファイルがあるフォルダに開発パッケージを抽出します。
    2. network.yamlファイルで、certificateAuthoritiesエントリとそのregistrarエントリを探します。network.yamlをダウンロードする際、管理者のパスワードはマスクされています(***に変換されています)。このサンプルを実行するときには、管理者のパスワードがクリア・テキストに置き換えられている必要があります。
  6. Blockchain Platformインスタンスに新しいIDを登録します:
    1. テナンシにマップされているIDCSのIDCS (次のステップで<NewIdentity>と表記されているもの)に新規ユーザーを作成します。
    2. このユーザーに、インスタンスのCA_Userアプリケーション・ロールを付与します。

ファイングレイン・アクセス・コントロールのMarbleサンプルの実装

新しいユーザーを登録し、Node.jsスクリプトを使用してACL制限を実装するには、次のステップを実行します。

  1. 新規ユーザーの登録:
    node registerEnrollUser.js <NewIdentity> <Password>
  2. 初期化します: アクセス制御リストを初期化します。
    node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> ACLInitialization
  3. アクセス制御リスト、グループおよびリソースを作成します: これにより、概要で説明したACLリソースが作成されます。
    node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> createFineGrainedAclSampleResources
  4. テストmarbleリソースを作成します: これにより、複数のテストmarbleアセット(tomが所有するblue1およびblue2、jerryが所有するred1およびred2、spikeが所有するgreen1およびgreen2)が作成されます。
    node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> createTestMarbles

アクセス制御のテスト

アクセス制御リストにより、各関数の実行が適切なユーザーのみに許可されていることをテストするには、サンプル・シナリオをいくつか実行します。

  1. marbleを転送します: marble blue1をtmからjerryに転送します。1つのmarbleを転送できるユーザーに制限はないため、これは正常に完了します。
    node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> transferMarble blue1 jerry
  2. marbleを管理ユーザーとして転送します: marble blue1をjerryからspikeに転送します。1つのmarbleを転送できるユーザーに制限はないため、これも正常に完了します。
    node invokeQueryCC.js <AdminIdentity> <Password> <ChannelName> <ChaincodeName> transferMarble blue1 spike
  3. 履歴を取得します: blue1という名前のmarbleの履歴を問い合せます。最初にjerryに転送され、次にspikeに転送されたと返されます。
    node invokeQueryCC.js <AdminIdentity> <Password> <ChannelName> <ChaincodeName> getHistoryForMarble blue1
  4. すべての赤色の大理石の転送:新しく登録されたアイデンティティには必要な"redMarblesTransferPermission=true" Fabric属性があるため、redMarblesAcl ACLでこの転送を許可する必要があります。そのため、2つの赤色の大理石をトムに転送する必要があります。
    node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> transferMarblesBasedOnColor red tom
  5. 管理ユーザーとして赤いmarbleをすべて転送します: 管理IDにはredMarblesTransferPermission=trueファブリック属性がないため、redMarblesAcl ACLにより、この転送はブロックされます。
    node invokeQueryCC.js <AdminIdentity> <Password> <ChannelName> <ChaincodeName> transferMarblesBasedOnColor red jerry
  6. 緑のmarbleをすべて転送します: デフォルトでは、明示的に定義されたアクセスのみが許可されます。緑のmarbleの一括転送を許可するACLはないため、この転送は失敗します。
    node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> transferMarblesBasedOnColor green tom
  7. marbleを削除します: 新しく登録されたIDにはdeleteMarblePermission=trueという必要なファブリック属性があるため、deleteMarbleAcl ACLではこの削除が許可されます。
    node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> delete green1
  8. 管理ユーザーとしてmarbleを削除します: 管理IDにはdeleteMarblePermission=trueという必要なファブリック属性がないため、deleteMarbleAcl ACLによって、この削除は阻止されます。
    node invokeQueryCC.js < AdminIdentity > <Password> <ChannelName> <ChaincodeName> delete green2

サンプル・ファイル・リファレンス

後続の表には、サンプルに含まれているチェーンコードやアプリケーション・ファイルで使用可能なメソッドを示します。

fgMarbles_chaincode.go

関数 説明
initMarble 新しいmarbleを作成します
transferMarble 名前に基づいて、ある所有者から別の所有者にmarbleを転送します
createTestMarbles initMarbleをコールして、テスト用の新しいサンプルmarbleを作成します
createFineGrainedAclSampleResources テスト・シナリオで必要なファイングレイン・アクセス・コントロールのリスト(ACL)、グループおよびリソースを作成します
transferMarblesBasedOnColor 特定の色の複数のmarbleを別の所有者に転送します
delete marbleを削除します
readMarble 名前に基づいてmarbleのすべての属性を返します
getHistoryForMarble marbleの値の履歴を返します

fgACL_Operations.go

方式 Parameters 説明
getACL
  • name
 指定されたACLを取得するか、すべてのACLを読み取ります。メソッドを起動するユーザーには、指定されたACLに対するREADアクセス権が必要です。
createACL
  • name
  • description
  • accesses
  • patterns
  • allowed
  • BindACLs
  • Identity_Certificate
 新しいACLを作成するには、メソッドを起動するユーザーに、.ACLsという名前のブートストラップ・リソースに対するCREATEアクセス権が必要です。ACLの名前を重複させることはできません
deleteACL
  • name
 メソッドを起動するユーザーには、指定されたACLに対するDELETEアクセス権が必要です。
updateACL
  • name
  • description
  • accesses
  • patterns
  • allowed
  • BindACLs
 メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。
addAfterACL
  • aclName
  • existingBindAclName
  • newBindAclName
 メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。
addBeforeACL
  • aclName
  • existingBindAclName
  • newBindAclName
 メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。
addPatternToACL
  • aclName
  • BindPattern
 メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。
removePatternFromACL
  • aclName
  • BindPattern
 メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。
updateDescription
  • aclName
  • newDesc
 メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。
removeBindACL
  • aclName
  • bindAclNameToRemove
 メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。
addAccess
  • aclName
  • accessName
 メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。
removeAccess
  • aclName
  • accessName
 メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。
ACLInitialization
  • なし
 この関数は、ファイングレインACLサポートの初期化に使用します。

fgGroups_Operations.go

方式 Parameters 説明
getGroup
  • name

name="GetAll"の場合、IDにアクセス権があるすべてのグループを返します。それ以外の場合は、名前に基づいて、個々のグループの詳細を返します(アクセス権がある場合)。

メソッドを起動するユーザーには、このグループに対するREADアクセス権が必要です。
createGroup
  • name
  • description
  • patterns
  • bindACLs

successまたはerrorを返します。

メソッドを起動するユーザーには、ブートストラップ・グループ.Groupに対するCREATEアクセス権が必要です
deleteGroup
  • name
 メソッドを起動するユーザーには、このグループに対するDELETEアクセス権が必要です。
addAfterGroup
  • groupName
  • existingBindAclName
  • newBindAclName
 メソッドを起動するユーザーには、このグループに対するUPDATEアクセス権が必要です。
addBeforeGroup
  • groupName
  • existingBindAclName
  • newBindAclName
 メソッドを起動するユーザーには、このグループに対するUPDATEアクセス権が必要です。
updateDescriptionForGroup
  • groupName
  • newDesc
 メソッドを起動するユーザーには、このグループに対するUPDATEアクセス権が必要です。
removeBindAclFromGroup
  • groupName
  • bindAclNameToRemove
 メソッドを起動するユーザーには、このグループに対するUPDATEアクセス権が必要です。
addMembersToGroup
  • groupName
  • pattern
 メソッドを起動するユーザーには、このグループに対するUPDATEアクセス権が必要です。
removeMembersFromGroup
  • groupName
  • pattern
 メソッドを起動するユーザーには、このグループに対するUPDATEアクセス権が必要です。

fgResource_Operations.go

方式 Parameters 説明
createResource
  • name
  • description
  • bindACLs
 メソッドを呼び出すユーザーには、.Resourcesという名前のブートストラップ・リソースに対するCREATEアクセス権が必要です。リソースの名前を重複させることはできません。
getResource
  • name
 メソッドを起動するユーザーには、リソースに対するREADアクセス権が必要です
deleteResource
  • name
 メソッドを起動するユーザーには、指定されたリソースに対するDELETEアクセス権が必要です
addAfterACLInResource
  • ResourceName
  • existingBindAclName
  • newBindAclName
 メソッドを起動するユーザーには、このリソースに対するUPDATEアクセス権が必要です
addBeforeACLInResource
  • ResourceName
  • existingBindAclName
  • newBindAclName
 メソッドを起動するユーザーには、このリソースに対するUPDATEアクセス権が必要です
updateDescriptionInResource
  • ResourceName
  • newDesc
 メソッドを起動するユーザーには、このリソースに対するUPDATEアクセス権が必要です
removeBindACLInResource
  • ResourceName
  • bindAclNameToRemove
 メソッドを起動するユーザーには、このリソースに対するUPDATEアクセス権が必要です
checkResourceAccess
  • ResourceName
  • access
 メソッドを起動している現在のユーザーに、指定リソースに対する指定のアクセス権があるかどうかを確認します。