Hyperledger Fabric Composer -限制系统管理员的访问权限

Question

我的问题是在超级分类器面料作曲家的访问控制。

假设您有一个业务网络，其中有以下参与者：

1. 卖主
2. (潜在)买主

卖方是向购买公司销售产品的公司的雇员。买方是购买公司的雇员。

这家采购公司是戴姆勒。戴姆勒( Daimler )的三名员工已在该网络注册为买家。销售公司是通用电气。通用电气( General )的两名员工在该网络中注册为卖方。

使用hyperledger composer的访问控制语言，可以随意限制买卖双方的访问权。

，但是节点级的访问控制情况如何呢？

不仅有买卖双方，而且还有两位系统管理员:一位负责戴姆勒同行的系统管理员，一位负责通用电气同行的系统管理员。

默认情况下，系统管理员有权访问所有数据。也就是说，戴姆勒系统管理员有权访问通用电气注册员工的所有数据。反之亦然，通用电气系统管理员有权访问戴姆勒注册员工的所有数据。

是否可以限制系统管理员对少数权利的访问，例如：

1. 安装和启动业务网络的权利
2. 有权控制其他系统管理员对系统所作的更改(例如，如果戴姆勒系统管理员更改了应用程序的代码，则通用电气管理员必须批准这些更改才能生效)
3. 阅读访问自己公司雇员的资料

Answer 1

对超级分类账结构(包括与业务网络的交互)的访问由超级分类账结构MSP管理。Hyperledger fabric作为超级分类账网络和通道设置的一部分，定义哪些标识(通过MSP创建)有权将链码安装到对等端，哪些标识具有通道权限，以便能够实例化或升级链码。可以将对等安装和通道实例化/升级限制在特定标识上。例如，有关Hyperledger的信息可以在此链接https://hyperledger-fabric.readthedocs.io/en/release-1.2/msp.html中找到，但您可能希望熟悉本节中的完整操作部分。

Composer中的访问控制是通过参与者和业务网络ACL文件完成的。您可以控制哪些参与者可以对Composer运行时控制的资源执行各种操作。您需要一个标识(由MSP生成)，以便能够在通道/链码(按照超级分类账结构的要求)上进行交互，此标识必须事先映射到特定的参与者，以便在业务网络上进行交互。当请求发送到业务网络时，composer将根据发出请求的身份查找该特定参与者，并使用该参与者和它的类型，通过业务网络ACL文件中的信息来确定允许它做什么。

请注意，像Peer install、通道实例化/升级链码这样的功能是fabric级别的功能，而不是composer功能，因此您不能通过composer ACL定义来控制这些类型的活动。