文档首页/ 基因容器 GCS/ 最佳实践/ 使用第三方数据执行测序
更新时间:2024-05-31 GMT+08:00
分享

使用第三方数据执行测序

华为云对象存储服务(Object Storage Service,OBS)支持资源隔离和权限控制,OBS桶是资源隔离和对象存储的逻辑载体,基本原理如图1

假设基因测序厂商账户下已有n个OBS桶,这些桶可分别授权给第三方客户使用。每个第三方账号均为独立的华为云账号,共享桶与第三方账户之间是一对一的关系,从而实现资源隔离。基因测序厂商可在授权时对桶做精确的权限配置,实现对第三方使用OBS桶的权限控制。第三方只需要登录自己的账号,通过OBS客户端实现原始数据的上传和分析结果的下载。

本章将介绍如何在使用基因容器服务时通过OBS的权限控制来实现资源隔离。

图1 基本原理图

基本概念

  • 基因测序厂商

    基因测序服务的提供商,即华为云基因容器服务的客户。

  • 第三方

    基因测序服务的使用者,即基因测序厂商的客户。

操作步骤

基因测序厂商进行桶配置、权限控制及第三方添加外部桶的操作步骤如下:

  1. 使用基因测序厂商账号登录OBS管理控制台,单击“创建桶”。

    图2 OBS管理控制台

  1. 设置桶参数:

    图3 创建OBS桶
    1. 选择“区域”、“存储类别”,并输入“桶名称”。

      桶创建成功后,不能修改名称,创建时,请设置合适的桶名。桶名称建议使用第三方账户名,便于区分。

    2. 桶策略:基因测序厂商可以根据界面提示为桶配置私有、公共读或公共读写策略。
    3. 多AZ:基因测序厂商可以开启或关闭多AZ。关闭多AZ时,桶内数据存储在单个AZ中;开启多AZ时,桶内数据在上传时同时复制双份,保存在3个AZ中。
    4. 标签:标签用于标识OBS对象存储中的桶,以此达到对OBS对象存储中的桶进行分类的目的。OBS对象存储以键值对的形式来描述标签,每个标签有且只有一对键值。有关添加标签的信息,请参见标签简介
    5. 单击“立即创建”。

  1. OBS桶创建完成后,默认跳转至桶列表。单击桶名称进入桶详情页,单击左侧导航栏中的“权限”,进行桶策略配置。
  2. 创建桶级别授权策略:

    1. 选择“高级桶策略”,单击“创建桶策略”。
      图4 创建桶策略
    2. 在弹出的对话框中,选择“自定义模式”,单击“其他账号”,输入第三方的账号ID(用户ID可省略不填,获取账户ID和用户ID的方法请参见注意事项)。资源名称设置为空,表示对桶权限的控制。动作列表中选择“*”,表示授予所有权限(如需精确控制权限,可勾选各权限接口)。
    3. 单击“确定”,可查看刚创建的桶级别授权策略。

  3. 创建对象级别授权策略:

    1. 选择“高级桶策略”,单击“创建桶策略”。
    2. 选择“自定义模式”,单击“其他账号”,输入第三方的账号ID(用户ID可省略不填)。资源名称输入“*”,表示对桶中所有对象权限的控制。“动作”列表中选择“*”,表示授予所有权限(如需精确控制权限,可勾选各权限接口)。
      图5 创建对象级别授权策略
    3. 单击“确定”,可查看刚创建的对象级别授权策略。

  1. 第三方添加桶:

    基因测序厂商创建完桶并配置好桶策略后,将桶名告知第三方。第三方可使用自己账号的AK/SK登录OBS客户端。登录成功后单击“添加桶”,选择“添加外部桶”,输入基因测序厂商提供的桶名,即可查看到列表中出现的桶。

    图6 添加外部桶

    桶添加成功后,第三方即可通过OBS Broswer上传和下载数据,基因测序厂商可获取到第三方上传的原始数据进行测序计算,输出分析结果。

注意事项

  • OBS桶的拥有者始终为基因测序厂商。测序服务完成后,基因测序厂商可根据需要删除桶或修改桶策略,收回共享权限。
  • 基因测序厂商创建的桶必须配置2条高级桶策略,1条是桶级别策略,1条是对象级别策略。
  • 基因测序厂商创建桶前,第三方需要将自己的账户ID告知基因测序厂商,账户ID可通过界面右上角账户名下“我的凭证”中查看。
    图7 查看账户ID
  • 基因测序厂商创建完桶并配置好桶策略后,将桶名告知第三方。
  • 由于单个账号在OBS管理控制台最多创建100个OBS桶,本方案适合第三方数量较少的场景。

相关文档