ste*_*ess 12 system-administration access-control peer hyperledger-fabric hyperledger-composer
我的问题是关于hyperledger fabric composer中的访问控制.
假设您有一个业务网络,您可以在其中拥有以下参与者:
卖方是向购买公司销售产品的公司的雇员.买方是购买公司的雇员.
示例:购买公司是戴姆勒.戴姆勒的三名员工在网络中注册为买家.销售公司是通用电气.通用电气的两名员工在网络中注册为卖家.
使用超级边缘作曲家的访问控制语言,可以随意限制买家和卖家的访问权限.
但是节点级别的访问控制情况如何?
不仅有买家和卖家,还有两名系统管理员:一名负责戴姆勒同行的系统管理员和一名负责通用电气同行的系统管理员.
默认情况下,系统管理员可以访问所有数据.也就是说,戴姆勒系统管理员可以访问注册的通用电气员工的所有数据.反之亦然,通用电气系统管理员可以访问注册戴姆勒员工的所有数据.
是否可以限制系统管理员对少数权限的访问,例如:
对 Hyperledger Fabric 的访问(包括与业务网络交互)的访问由 Hyperledger Fabric MSP 管理。Hyperledger Fabric 作为 Hyperledger Fabric 网络和通道设置的一部分,定义哪些身份(通过 MSP 创建)有权将链码安装到对等节点上,哪些身份拥有通道权限,以便能够实例化或升级链码。可以将对等安装和通道实例化/升级限制为特定身份。例如,有关 Hyperledger Fabric MSP 的信息可以在此链接中找到 :https://hyperledger-fabric.readthedocs.io/en/release-1.2/msp.html,但您可能希望熟悉本节的完整操作部分部分。
Composer 中的访问控制是通过参与者和业务网络 ACL 文件完成的。您可以控制哪些参与者可以对 Composer 运行时控制的资源执行各种操作。您需要一个身份(由您的 MSP 生成),以便能够在通道/链码上进行交互(根据超级账本结构的要求),该身份必须事先映射到特定参与者,以便在业务网络上进行交互。当请求发送到业务网络时,Composer 将根据发出请求的身份查找特定参与者,并使用该参与者及其类型,通过业务网络 ACL 文件中的信息来确定允许执行哪些操作做。
请注意,对等安装、链码通道实例化/升级等内容是结构级别功能,而不是 Composer 功能,因此您无法通过 Composer ACL 定义控制这些类型的活动