上一篇我們介紹了OBS權限管理中統一身份認證和企業項目管理,本期我們繼續介紹OBS權限管理中的進階桶政策和ACL應用。
您是否也遇到過類似的問題或者困擾?
1、隔壁的主賬戶給了子使用者建立一個桶,但是沒有給他設定桶政策,子賬戶通路報403,困惑了一整天。
2、樓下是另外一個子賬号,為了OBS 控制台報無權限通路,百思不得其解。
3、對面一個子賬戶上傳了一個檔案,抓破頭也無法分享給其他人。
這些問題或者困擾各不相同,下面将分别介紹進階桶政策和ACL應用來解答這些問題和困惑。
進階桶政策介紹:
桶政策是作用于配置桶政策的單個桶的。同時也提供代碼模式配置方法,進階桶政策代碼最多不能超過20KB。
桶政策參數:
(1)Effect,桶政策效果;指定本條政策描述的權限是允許請求還是拒絕請求。
(2)Action,桶政策動作;指定本條政策可以執行的操作。
(3)Condition,政策生效必須滿足的條件,詳情參考
https://support.huaweicloud.com/usermanual-obs/obs_03_0120.html
(4)Resource,資源;資源指桶或對象。您可以指定一個對象或對象集,當指定給對象集時,使用通配符(*),例如:file*。如果不輸入,則表示指定資源為桶,且在動作處隻能選擇與桶相關的。多個資源使用英文逗号分隔。
(5)Principal,桶政策被授權使用者。
“domain/賬号ID”(表示被授權使用者為xxx賬号)。
“domain/賬号ID:user/使用者ID”(表示被授權使用者為xxx賬号下的xxx使用者)
控制台:
對應代碼模式:
應用案例:
- 配置賬号B的一個桶,允許賬号A下的a租戶隻有上傳權限,配置如下。其中xxx是需要需要注意的關鍵配置點。
2、匿名通路
進階桶政策與IAM授權對比
- IAM的OBS細粒度權限直接授權給IAM使用者組,而OBS桶的自身細粒度規則目标隻能是一個或者多個IAM使用者,對于多使用者場景建立和維護的效率較低,如下圖所示。
- IAM的OBS細粒度權限可以包含60個Bucket+Object動作規則,而OBS桶自身的細粒度政策中,支援的Bucket+Object動作規則隻有34個,如下圖所示。這也就意味着IAM的OBS細粒度權限精細度更高。
- IAM的OBS細粒度權限還可以支援“列舉所有桶”操作的權限控制,這樣的全局性操作控制在OBS桶的自身進階政策中是無法實作的。
- OBS桶的自定義桶政策,設定的Bucket通路權限隻能針對該桶自己;而一條IAM的OBS細粒度權限則可以同時适配多個目标OBS桶。
- OBS桶的自定義桶政策,隻能控制IAM使用者的OBS通路權限,而不能控制其他雲服務對OBS資源的通路權限的。IAM的OBS細粒度權限則可以通過委托授權來控制其他雲服務對于OBS資源的通路權限。
- 不論是IAM的OBS細粒度權限控制,還是OBS桶自定義的進階桶政策中,桶的通路控制與對象的通路控制是分開定義的,在華為雲的OBS服務中,桶的通路控制規則 與 對象的通路控制規則 是分開定義的,目前無法通過一條政策将桶本身和桶内對象都共享出去。
如下所示為OBS桶的自定義進階桶政策:
如下所示為IAM的OBS細粒度權限定義,也需要同時包含桶和對象兩條規則
ACL介紹:
基于賬号的通路控制。有一個很恰當的比喻:桶owner相當于房東,房東将桶出租給房客(子賬戶),子賬戶可以将貴重物品放到自己的房間裡,但是房東沒有權利去檢視。房客可以給房東鑰匙(設定對象ACL)賦予房東權限,使其有通路權限。
步驟1.賬号A上傳,主賬号無權限下載下傳
步驟2.可通過SDK,配置指定主賬号具有對象下載下傳權限;
上傳者使用Java SDK配置指定賬号權限。
這樣對象的上傳者,就可以将對象的權限賦予給桶owner。
OBS權限的四種方式随心配,讓你輕松掌握權限配置管理。OBS權限管理在助力解決不同應用場景下的資料管理訴求下,為使用者帶來穩定、安全、高效的雲端存儲體驗。
點選關注,第一時間了解華為雲新鮮技術~