1. Oracle Blockchain Platformの使用
  2. Marbleサンプルに含まれる詳細なアクセス・コントロールのライブラリの使用
  3. 詳細なアクセス・コントロールのMarbleサンプル

詳細なアクセス・コントロールのMarbleサンプル

Marblesチェーンコード・アプリケーションを使用すると、一意の属性(名前、サイズ、色および所有者)を持つアセット(マール)を作成し、これらのアセットをブロックチェーン・ネットワークの他の参加者とやり取りできます。

このサンプル・アプリケーションには様々な関数が用意されており、特定のユーザーに関数を制限するために、アクセス制御リストやグループをどのように使用するかを確認できます。

サンプルの概要

サンプルに含まれているテスト・シナリオには、アセットを管理するために次の制限があります:

  • 赤色の大理石の一括転送は、"redMarblesTransferPermission" Fabric属性を持つアイデンティティによってのみ許可されます。
  • 青色の大理石の一括転送は、"blueMarblesTransferPermission" Fabric属性を持つアイデンティティによってのみ許可されます。
  • 大理石の削除は、"deleteMarblePermission" Fabric属性を持つアイデンティティにのみ許可されます。

これらの制限は、fgMarbles_chaincode.goチェーンコードに次のライブラリ・メソッドを実装することで強制されます:

  • bulkMarblesTransferGroupという名前のファイングレインACLグループを作成します。このグループには、色に基づいてマーブルを転送できるすべてのIDを定義します(一括転送):
    createGroup(stub, []string{" bulkMarblesTransferGroup", 
"List of Identities allowed to Transfer Marbles in Bulk", 
"%ATTR%redMarblesTransferPermission=true, %ATTR%blueMarblesTransferPermission=true", ".ACLs"})
  • bulkMarblesTransferGroupに赤いマーブルの一括転送アクセス権を付与するredMarblesAclというファイングレインACLを作成します:
    createACL(stub, []string{"redMarblesAcl", 
"ACL to control who can transfer red marbles in bulk", 
"redMarblesTransferPermission", "%GRP%bulkMarblesTransferGroup", "true", ".ACLs"})
  • bulkMarblesTransferGroupにブルー・マーブルの一括転送アクセス権を付与するblueMarblesAclというファイングレインACLを作成します:
    createACL(stub, []string{"blueMarblesAcl", 
"ACL to control who can transfer blue marbles in bulk", 
"blueMarblesTransferPermission", "%GRP%bulkMarblesTransferGroup", "true", ".ACLs"})
  • deleteMarbleAclというファイングレインACLを作成して、"canDeleteMarble=true" Fabric属性に基づいて大理石の削除を制限します。
    createACL(stub, []string{"deleteMarbleAcl", 
"ACL to control who can Delete a Marble", 
"deleteMarblePermission", "%ATTR%deleteMarblePermission=true", "true", ".ACLs"})
  • marbleというファイングレインACLリソースを作成し、作成した各種ACLを使用して操作を制御します:
    createResource(stub, []string{"marble", 
"System marble resource", 
"deleteMarbleAcl,blueMarblesAcl,redMarblesAcl,.ACLs"})

前提条件と設定

marblesサンプルのファイングレイン・アクセス・コントロール・バージョンを実行するには、次のステップを実行します:

  1. marblesサンプルの詳細なアクセス・コントロール・バージョンをダウンロードします。「Developer Tools」タブで、「Samples」ペインを開き、「Marbles with Fine-Grained ACLs」の下にあるダウンロード・リンクをクリックします。このパッケージを抽出します。このパッケージには、marblesサンプルのZIPファイル(fgACL_MarbleSampleCC.zip)、サンプルを実行するNode.jsファイル(fgACL-NodeJSCode.zip)およびファイングレイン・アクセス・コントロール・ライブラリ(Fine-GrainedAccessControlLibrary.zip)が含まれます。
  2. Blockchain Platformにデプロイするチェーンコード・パッケージを生成します:
    • fgACL_MarbleSampleCC.zipファイルの内容をfgACL_MarbleSampleCCディレクトリに抽出します。fgACL_MarbleSampleCCディレクトリのコンテンツは、fgACL_Operations.gofgGroups_Operations.gofgMarbles_chaincode.gofgResource_Operations.goおよびgo.modファイルおよびoracle.comディレクトリになります。
    • コマンドラインから、fgACL_MarbleSampleCCディレクトリに移動し、GO111MODULE=on go mod vendorを実行します。このコマンドは、必要な依存関係をダウンロードし、vendorディレクトリに追加します。
    • fgACL_MarbleSampleCCディレクトリのすべての内容(4つのGoファイル、go.modファイルおよびvendorディレクトリとoracle.comディレクトリ)をZIP形式で圧縮します。これで、チェーンコードをブロックチェーン・プラットフォームにデプロイできます。
  3. 「クイック・デプロイメントの使用」の説明に従って、更新されたサンプルのチェーンコード・パッケージ(fgACL_MarbleSampleCC.zip)をインストールしてデプロイします。
  4. 「Developer Tools」タブで、「Application Development」ペインを開き、手順に従ってNode.js SDKをダウンロードします。
  5. 「Developer Tools」タブで、「Application Development」ペインを開き、開発パッケージのダウンロードをクリックします。
    1. サンプルと一緒にダウンロードしたNode.jsファイルがあるフォルダに開発パッケージを抽出します。
    2. network.yamlファイルで、certificateAuthoritiesエントリとそのregistrarエントリを探します。network.yamlのダウンロード時に、管理者のパスワードはマスクされています(***に変換されています)。このサンプルを実行するときには、管理者のパスワードがクリア・テキストに置き換えられている必要があります。
  6. Blockchain Platformインスタンスに新しいIDを登録します:
    1. テナンシにマップされているIDCSのIDCS (次のステップで<NewIdentity>と表記されているもの)に新規ユーザーを作成します。
    2. このユーザーに、インスタンスのCA_Userアプリケーション・ロールを付与します。

詳細なアクセス・コントロールのMarbleサンプルの実装

新しいユーザーを登録し、Node.jsスクリプトを使用してACL制限を実装するには、次のステップを実行します。

  1. 新規ユーザーを登録します:
    node registerEnrollUser.js <NewIdentity> <Password>
  2. 初期化します:アクセス制御リストを初期化します。
    node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> ACLInitialization
  3. アクセス・コントロール・リスト、グループおよびリソースを作成します:これにより、概要で説明したACLリソースが作成されます。
    node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> createFineGrainedAclSampleResources
  4. テスト・マーブル・リソースを作成します:これにより、複数のテスト・マーブル・アセット(Tomが所有するblue1およびblue2、jerryが所有するred1およびred2)、およびspikeが所有するgreen1およびgreen2)が作成されます。
    node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> createTestMarbles

アクセス制御のテスト

アクセス制御リストにより、各ファンクションの実行が適切なユーザーのみに許可されていることをテストするには、サンプル・シナリオをいくつか実行します。

  1. marbleを転送します: marble blue1をtmからjerryに転送します。1つのMarbleを転送できるユーザーに制限はないため、これは正常に完了します。
    node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> transferMarble blue1 jerry
  2. marbleを管理ユーザーとして転送します: marble blue1をjerryからspikeに転送します。1つのMarbleを転送できるユーザーに制限はないため、これも正常に完了します。
    node invokeQueryCC.js <AdminIdentity> <Password> <ChannelName> <ChaincodeName> transferMarble blue1 spike
  3. 履歴を取得します: blue1という名前のmarbleの履歴を問い合せます。最初にjerryに転送され、次にspikeに転送されたと返されます。
    node invokeQueryCC.js <AdminIdentity> <Password> <ChannelName> <ChaincodeName> getHistoryForMarble blue1
  4. すべての赤色の大理石の転送:新しく登録されたアイデンティティには必要な"redMarblesTransferPermission=true" Fabric属性があるため、redMarblesAcl ACLでこの転送を許可する必要があります。そのため、2つの赤色の大理石をトムに転送する必要があります。
    node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> transferMarblesBasedOnColor red tom
  5. すべての赤い大理石を管理ユーザーとして転送:管理IDに"redMarblesTransferPermission=true" Fabric属性がないため、redMarblesAcl ACLはこの転送をブロックする必要があります。
    node invokeQueryCC.js <AdminIdentity> <Password> <ChannelName> <ChaincodeName> transferMarblesBasedOnColor red jerry
  6. 緑色のすべての大理石を移動します:デフォルトでは、明示的に定義されたアクセスのみが許可されます。緑の大理石の一括転送を許可するACLはないため、この転送は失敗します。
    node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> transferMarblesBasedOnColor green tom
  7. 大理石の削除: deleteMarbleAcl ACLでは、新しく登録されたアイデンティティに必要な"deleteMarblePermission=true" Fabric属性があるため、この削除が許可されます。
    node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> delete green1
  8. 管理ユーザーとして大理石を削除します: deleteMarbleAcl ACLでは、管理IDに必要な"deleteMarblePermission=true" Fabric属性がないため、この削除を防止する必要があります。
    node invokeQueryCC.js < AdminIdentity > <Password> <ChannelName> <ChaincodeName> delete green2

サンプル・ファイル・リファレンス

次の表に、サンプルに含まれているチェーンコードやアプリケーション・ファイルで使用可能なメソッドを示します。

fgMarbles_chaincode.go

関数 説明
initMarble 新しいmarbleを作成します
transferMarble マーブルを名前に基づいてある所有者から別の所有者に転送します
createTestMarbles initMarbleをコールして、テスト用の新しい大理石を作成します
createFineGrainedAclSampleResources テスト・シナリオで必要なファイングレイン・アクセス・コントロールのリスト(ACL)、グループおよびリソースを作成します
transferMarblesBasedOnColor 特定の色の複数のマーブルを別の所有者に転送します
delete marbleを削除します
readMarble 名前に基づいてmarbleのすべての属性を返します
getHistoryForMarble marbleの値の履歴を返します

fgACL_Operations.go

方式 Parameters 説明
getACL
  • name
 指定されたACLを取得するか、すべてのACLを読み取ります。メソッドを起動するユーザーには、指定されたACLに対するREADアクセス権が必要です。
createACL
  • name
  • description
  • accesses
  • patterns
  • allowed
  • BindACLs
  • Identity_Certificate
 新しいACLを作成するには、メソッドを起動するユーザーが". ACLs"という名前のブートストラップ・リソースにCREATEアクセス権を持っている必要があります。ACL名は重複できません
deleteACL
  • name
 メソッドを起動するユーザーには、指定されたACLに対するDELETEアクセス権が必要です。
updateACL
  • name
  • description
  • accesses
  • patterns
  • allowed
  • BindACLs
 メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。
addAfterACL
  • aclName
  • existingBindAclName
  • newBindAclName
 メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。
addBeforeACL
  • aclName
  • existingBindAclName
  • newBindAclName
 メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。
addPatternToACL
  • aclName
  • BindPattern
 メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。
removePatternFromACL
  • aclName
  • BindPattern
 メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。
updateDescription
  • aclName
  • newDesc
 メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。
removeBindACL
  • aclName
  • bindAclNameToRemove
 メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。
addAccess
  • aclName
  • accessName
 メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。
removeAccess
  • aclName
  • accessName
 メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。
ACLInitialization
  • なし
 この関数は、ファイングレインACLサポートの初期化に使用します。

fgGroups_Operations.go

方式 Parameters 説明
getGroup
  • name

name="GetAll"の場合、IDにアクセスできるすべてのグループを返します。そうでない場合は、名前に基づいて、個々のグループの詳細を返します(アクセス権がある場合)。

メソッドを起動するユーザーには、このグループに対するREADアクセス権が必要です。
createGroup
  • name
  • description
  • patterns
  • bindACLs

successまたはerrorを返します。

メソッドを起動するユーザーには、ブートストラップ・グループ". Group"へのCREATEアクセス権が必要です
deleteGroup
  • name
 メソッドを起動するユーザーには、このグループに対するDELETEアクセス権が必要です。
addAfterGroup
  • groupName
  • existingBindAclName
  • newBindAclName
 メソッドを起動するユーザーには、このグループに対するUPDATEアクセス権が必要です。
addBeforeGroup
  • groupName
  • existingBindAclName
  • newBindAclName
 メソッドを起動するユーザーには、このグループに対するUPDATEアクセス権が必要です。
updateDescriptionForGroup
  • groupName
  • newDesc
 メソッドを起動するユーザーには、このグループに対するUPDATEアクセス権が必要です。
removeBindAclFromGroup
  • groupName
  • bindAclNameToRemove
 メソッドを起動するユーザーには、このグループに対するUPDATEアクセス権が必要です。
addMembersToGroup
  • groupName
  • pattern
 メソッドを起動するユーザーには、このグループに対するUPDATEアクセス権が必要です。
removeMembersFromGroup
  • groupName
  • pattern
 メソッドを起動するユーザーには、このグループに対するUPDATEアクセス権が必要です。

fgResource_Operations.go

方式 Parameters 説明
createResource
  • name
  • description
  • bindACLs
 メソッドを起動するユーザーは、". Resources"という名前のブートストラップ・リソースへのCREATEアクセス権を持っている必要があります。リソースの名前を重複させることはできません。
getResource
  • name
 メソッドを起動するユーザーには、リソースに対するREADアクセス権が必要です
deleteResource
  • name
 メソッドを起動するユーザーには、指定されたリソースに対するDELETEアクセス権が必要です
addAfterACLInResource
  • ResourceName
  • existingBindAclName
  • newBindAclName
 メソッドを起動するユーザーには、このリソースに対するUPDATEアクセス権が必要です
addBeforeACLInResource
  • ResourceName
  • existingBindAclName
  • newBindAclName
 メソッドを起動するユーザーには、このリソースに対するUPDATEアクセス権が必要です
updateDescriptionInResource
  • ResourceName
  • newDesc
 メソッドを起動するユーザーには、このリソースに対するUPDATEアクセス権が必要です
removeBindACLInResource
  • ResourceName
  • bindAclNameToRemove
 メソッドを起動するユーザーには、このリソースに対するUPDATEアクセス権が必要です
checkResourceAccess
  • ResourceName
  • access
 メソッドを起動している現在のユーザーに、指定リソースに対する指定のアクセス権があるかどうかを確認します。