詳細なアクセス・コントロールのMarbleサンプル
Marblesチェーンコード・アプリケーションを使用すると、一意の属性(名前、サイズ、色および所有者)を持つアセット(マール)を作成し、これらのアセットをブロックチェーン・ネットワークの他の参加者とやり取りできます。
このサンプル・アプリケーションには様々な関数が用意されており、特定のユーザーに関数を制限するために、アクセス制御リストやグループをどのように使用するかを確認できます。
サンプルの概要
サンプルに含まれているテスト・シナリオには、アセットを管理するために次の制限があります:
- 赤色の大理石の一括転送は、
"redMarblesTransferPermission"
Fabric属性を持つアイデンティティによってのみ許可されます。 - 青色の大理石の一括転送は、
"blueMarblesTransferPermission"
Fabric属性を持つアイデンティティによってのみ許可されます。 - 大理石の削除は、
"deleteMarblePermission"
Fabric属性を持つアイデンティティにのみ許可されます。
これらの制限は、fgMarbles_chaincode.go
チェーンコードに次のライブラリ・メソッドを実装することで強制されます:
bulkMarblesTransferGroup
という名前のファイングレインACLグループを作成します。このグループには、色に基づいてマーブルを転送できるすべてのIDを定義します(一括転送):createGroup(stub, []string{" bulkMarblesTransferGroup", "List of Identities allowed to Transfer Marbles in Bulk", "%ATTR%redMarblesTransferPermission=true, %ATTR%blueMarblesTransferPermission=true", ".ACLs"})
bulkMarblesTransferGroup
に赤いマーブルの一括転送アクセス権を付与するredMarblesAcl
というファイングレインACLを作成します:createACL(stub, []string{"redMarblesAcl", "ACL to control who can transfer red marbles in bulk", "redMarblesTransferPermission", "%GRP%bulkMarblesTransferGroup", "true", ".ACLs"})
bulkMarblesTransferGroup
にブルー・マーブルの一括転送アクセス権を付与するblueMarblesAcl
というファイングレインACLを作成します:createACL(stub, []string{"blueMarblesAcl", "ACL to control who can transfer blue marbles in bulk", "blueMarblesTransferPermission", "%GRP%bulkMarblesTransferGroup", "true", ".ACLs"})
deleteMarbleAcl
というファイングレインACLを作成して、"canDeleteMarble=true"
Fabric属性に基づいて大理石の削除を制限します。createACL(stub, []string{"deleteMarbleAcl", "ACL to control who can Delete a Marble", "deleteMarblePermission", "%ATTR%deleteMarblePermission=true", "true", ".ACLs"})
marble
というファイングレインACLリソースを作成し、作成した各種ACLを使用して操作を制御します:createResource(stub, []string{"marble", "System marble resource", "deleteMarbleAcl,blueMarblesAcl,redMarblesAcl,.ACLs"})
前提条件と設定
marblesサンプルのファイングレイン・アクセス・コントロール・バージョンを実行するには、次のステップを実行します:
- marblesサンプルの詳細なアクセス・コントロール・バージョンをダウンロードします。「Developer Tools」タブで、「Samples」ペインを開き、「Marbles with Fine-Grained ACLs」の下にあるダウンロード・リンクをクリックします。このパッケージを抽出します。このパッケージには、marblesサンプルのZIPファイル(
fgACL_MarbleSampleCC.zip
)、サンプルを実行するNode.jsファイル(fgACL-NodeJSCode.zip
)およびファイングレイン・アクセス・コントロール・ライブラリ(Fine-GrainedAccessControlLibrary.zip
)が含まれます。 - Blockchain Platformにデプロイするチェーンコード・パッケージを生成します:
fgACL_MarbleSampleCC.zip
ファイルの内容をfgACL_MarbleSampleCC
ディレクトリに抽出します。fgACL_MarbleSampleCC
ディレクトリのコンテンツは、fgACL_Operations.go
、fgGroups_Operations.go
、fgMarbles_chaincode.go
、fgResource_Operations.go
およびgo.mod
ファイルおよびoracle.com
ディレクトリになります。- コマンドラインから、
fgACL_MarbleSampleCC
ディレクトリに移動し、GO111MODULE=on go mod vendor
を実行します。このコマンドは、必要な依存関係をダウンロードし、vendor
ディレクトリに追加します。 fgACL_MarbleSampleCC
ディレクトリのすべての内容(4つのGoファイル、go.mod
ファイルおよびvendor
ディレクトリとoracle.com
ディレクトリ)をZIP形式で圧縮します。これで、チェーンコードをブロックチェーン・プラットフォームにデプロイできます。
- 「クイック・デプロイメントの使用」の説明に従って、更新されたサンプルのチェーンコード・パッケージ(
fgACL_MarbleSampleCC.zip
)をインストールしてデプロイします。 - 「Developer Tools」タブで、「Application Development」ペインを開き、手順に従ってNode.js SDKをダウンロードします。
- 「Developer Tools」タブで、「Application Development」ペインを開き、開発パッケージのダウンロードをクリックします。
- サンプルと一緒にダウンロードしたNode.jsファイルがあるフォルダに開発パッケージを抽出します。
network.yaml
ファイルで、certificateAuthorities
エントリとそのregistrar
エントリを探します。network.yaml
のダウンロード時に、管理者のパスワードはマスクされています(***
に変換されています)。このサンプルを実行するときには、管理者のパスワードがクリア・テキストに置き換えられている必要があります。
- Blockchain Platformインスタンスに新しいIDを登録します:
- テナンシにマップされているIDCSのIDCS (次のステップで
<NewIdentity>
と表記されているもの)に新規ユーザーを作成します。 - このユーザーに、インスタンスの
CA_User
アプリケーション・ロールを付与します。
- テナンシにマップされているIDCSのIDCS (次のステップで
詳細なアクセス・コントロールのMarbleサンプルの実装
新しいユーザーを登録し、Node.jsスクリプトを使用してACL制限を実装するには、次のステップを実行します。
- 新規ユーザーを登録します:
node registerEnrollUser.js <NewIdentity> <Password>
- 初期化します:アクセス制御リストを初期化します。
node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> ACLInitialization
- アクセス・コントロール・リスト、グループおよびリソースを作成します:これにより、概要で説明したACLリソースが作成されます。
node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> createFineGrainedAclSampleResources
- テスト・マーブル・リソースを作成します:これにより、複数のテスト・マーブル・アセット(Tomが所有するblue1およびblue2、jerryが所有するred1およびred2)、およびspikeが所有するgreen1およびgreen2)が作成されます。
node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> createTestMarbles
アクセス制御のテスト
アクセス制御リストにより、各ファンクションの実行が適切なユーザーのみに許可されていることをテストするには、サンプル・シナリオをいくつか実行します。
- marbleを転送します: marble
blue1
をtmからjerryに転送します。1つのMarbleを転送できるユーザーに制限はないため、これは正常に完了します。node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> transferMarble blue1 jerry
- marbleを管理ユーザーとして転送します: marble
blue1
をjerryからspikeに転送します。1つのMarbleを転送できるユーザーに制限はないため、これも正常に完了します。node invokeQueryCC.js <AdminIdentity> <Password> <ChannelName> <ChaincodeName> transferMarble blue1 spike
- 履歴を取得します:
blue1
という名前のmarbleの履歴を問い合せます。最初にjerryに転送され、次にspikeに転送されたと返されます。node invokeQueryCC.js <AdminIdentity> <Password> <ChannelName> <ChaincodeName> getHistoryForMarble blue1
- すべての赤色の大理石の転送:新しく登録されたアイデンティティには必要な
"redMarblesTransferPermission=true"
Fabric属性があるため、redMarblesAcl
ACLでこの転送を許可する必要があります。そのため、2つの赤色の大理石をトムに転送する必要があります。node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> transferMarblesBasedOnColor red tom
- すべての赤い大理石を管理ユーザーとして転送:管理IDに
"redMarblesTransferPermission=true"
Fabric属性がないため、redMarblesAcl
ACLはこの転送をブロックする必要があります。node invokeQueryCC.js <AdminIdentity> <Password> <ChannelName> <ChaincodeName> transferMarblesBasedOnColor red jerry
- 緑色のすべての大理石を移動します:デフォルトでは、明示的に定義されたアクセスのみが許可されます。緑の大理石の一括転送を許可するACLはないため、この転送は失敗します。
node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> transferMarblesBasedOnColor green tom
- 大理石の削除:
deleteMarbleAcl
ACLでは、新しく登録されたアイデンティティに必要な"deleteMarblePermission=true"
Fabric属性があるため、この削除が許可されます。node invokeQueryCC.js <NewIdentity> <Password> <ChannelName> <ChaincodeName> delete green1
- 管理ユーザーとして大理石を削除します:
deleteMarbleAcl
ACLでは、管理IDに必要な"deleteMarblePermission=true"
Fabric属性がないため、この削除を防止する必要があります。node invokeQueryCC.js < AdminIdentity > <Password> <ChannelName> <ChaincodeName> delete green2
サンプル・ファイル・リファレンス
次の表に、サンプルに含まれているチェーンコードやアプリケーション・ファイルで使用可能なメソッドを示します。
fgMarbles_chaincode.go
関数 | 説明 |
---|---|
initMarble |
新しいmarbleを作成します |
transferMarble |
マーブルを名前に基づいてある所有者から別の所有者に転送します |
createTestMarbles |
initMarble をコールして、テスト用の新しい大理石を作成します
|
createFineGrainedAclSampleResources |
テスト・シナリオで必要なファイングレイン・アクセス・コントロールのリスト(ACL)、グループおよびリソースを作成します |
transferMarblesBasedOnColor |
特定の色の複数のマーブルを別の所有者に転送します |
delete |
marbleを削除します |
readMarble |
名前に基づいてmarbleのすべての属性を返します |
getHistoryForMarble |
marbleの値の履歴を返します |
fgACL_Operations.go
方式 | Parameters | 説明 |
---|---|---|
getACL |
|
指定されたACLを取得するか、すべてのACLを読み取ります。メソッドを起動するユーザーには、指定されたACLに対するREADアクセス権が必要です。 |
createACL |
|
新しいACLを作成するには、メソッドを起動するユーザーが". ACLs" という名前のブートストラップ・リソースにCREATEアクセス権を持っている必要があります。ACL名は重複できません
|
deleteACL |
|
メソッドを起動するユーザーには、指定されたACLに対するDELETEアクセス権が必要です。 |
updateACL |
|
メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。 |
addAfterACL |
|
メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。 |
addBeforeACL |
|
メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。 |
addPatternToACL |
|
メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。 |
removePatternFromACL |
|
メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。 |
updateDescription |
|
メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。 |
removeBindACL |
|
メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。 |
addAccess |
|
メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。 |
removeAccess |
|
メソッドを起動するユーザーには、指定されたリソースに対するUPDATEアクセス権が必要で、指定されたACLが存在する必要があります。 |
ACLInitialization |
|
この関数は、ファイングレインACLサポートの初期化に使用します。 |
fgGroups_Operations.go
方式 | Parameters | 説明 |
---|---|---|
getGroup |
|
name= メソッドを起動するユーザーには、このグループに対するREADアクセス権が必要です。 |
createGroup |
|
メソッドを起動するユーザーには、ブートストラップ・グループ |
deleteGroup |
|
メソッドを起動するユーザーには、このグループに対するDELETEアクセス権が必要です。 |
addAfterGroup |
|
メソッドを起動するユーザーには、このグループに対するUPDATEアクセス権が必要です。 |
addBeforeGroup |
|
メソッドを起動するユーザーには、このグループに対するUPDATEアクセス権が必要です。 |
updateDescriptionForGroup |
|
メソッドを起動するユーザーには、このグループに対するUPDATEアクセス権が必要です。 |
removeBindAclFromGroup |
|
メソッドを起動するユーザーには、このグループに対するUPDATEアクセス権が必要です。 |
addMembersToGroup |
|
メソッドを起動するユーザーには、このグループに対するUPDATEアクセス権が必要です。 |
removeMembersFromGroup |
|
メソッドを起動するユーザーには、このグループに対するUPDATEアクセス権が必要です。 |
fgResource_Operations.go
方式 | Parameters | 説明 |
---|---|---|
createResource |
|
メソッドを起動するユーザーは、". Resources" という名前のブートストラップ・リソースへのCREATEアクセス権を持っている必要があります。リソースの名前を重複させることはできません。
|
getResource |
|
メソッドを起動するユーザーには、リソースに対するREADアクセス権が必要です |
deleteResource |
|
メソッドを起動するユーザーには、指定されたリソースに対するDELETEアクセス権が必要です |
addAfterACLInResource |
|
メソッドを起動するユーザーには、このリソースに対するUPDATEアクセス権が必要です |
addBeforeACLInResource |
|
メソッドを起動するユーザーには、このリソースに対するUPDATEアクセス権が必要です |
updateDescriptionInResource |
|
メソッドを起動するユーザーには、このリソースに対するUPDATEアクセス権が必要です |
removeBindACLInResource |
|
メソッドを起動するユーザーには、このリソースに対するUPDATEアクセス権が必要です |
checkResourceAccess |
|
メソッドを起動している現在のユーザーに、指定リソースに対する指定のアクセス権があるかどうかを確認します。 |