我的问题是关于hyperledger fabric composer中的访问控制 .
假设您有一个业务网络,您可以在其中拥有以下参与者:
-
卖家
-
(潜在)买家
卖方是向购买公司销售产品的公司的雇员 . 买方是购买公司的雇员 .
示例:购买公司是戴姆勒 . 戴姆勒的三名员工在网络中注册为买家 . 销售公司是通用电气 . 通用电气的两名员工在网络中注册为卖家 .
使用超级边缘作曲家的访问控制语言,可以随意限制买家和卖家的访问权限 .
But how is the situation regarding Access Control at the Node level?
不仅有买家和卖家,还有两名系统管理员:一名负责戴姆勒同行的系统管理员和一名负责通用电气同行的系统管理员 .
默认情况下,系统管理员可以访问所有数据 . 也就是说,戴姆勒系统管理员可以访问注册的通用电气员工的所有数据 . 反之亦然,通用电气系统管理员可以访问注册戴姆勒员工的所有数据 .
是否可以限制系统管理员对少数权限的访问,例如:
-
正确安装和启动业务网络
-
控制其他系统管理员对系统所做的更改的权利(例如,如果戴姆勒系统管理员更改了应用程序的代码,那么通用电气管理员必须先批准这些更改才能生效)
-
阅读访问自己公司的员工
1 回答
通过超级分层结构MSP管理对超级分层结构(包括与业务网络交互的任何内容)的访问 . Hyperledger结构作为 Build 超级分层结构网络和通道的一部分,定义哪些标识(通过MSP创建)具有将链代码安装到对等端以及哪些标识具有信道权限的权限,以便能够实例化或升级链代码 . 可以将Peer Install和Channel实例化/升级限制为特定身份 . 例如,可以在此链接中找到有关Hyperledger结构MSP的信息https://hyperledger-fabric.readthedocs.io/en/release-1.2/msp.html,但您可能希望熟悉此部分所属的完整操作部分 .
Composer中的访问控制是通过参与者和业务网络ACL文件完成的 . 您可以控制哪些参与者可以对Composer运行时控制的资源执行各种操作 . 您需要一个标识(由您的MSP生成)才能在 Channels /链代码上进行交互(根据超级分层结构的要求)此标识必须先前映射到特定参与者才能在业务网络上进行交互 . 当请求发送到业务网络时,编写者将根据发出请求的身份查找该特定参与者,并使用该参与者及其类型通过业务网络ACL文件中的信息确定允许的内容 . 做 .
请注意,诸如Peer安装,通道实例化/链式代码升级之类的东西是结构级功能,而不是编写器功能,因此您不能通过编写器ACL定义来控制这些类型的活动