【教程】云存储基于不同层级用户权限管理设置实现桶中目录级访问控制分发能力
背景
当前公有云客户数据使用过程中,需要实现对下游客户或不同部门的数据访问权限的约束控制,那么为了更好的指引客户使用,特进行此场景的业务权限配置说明
本教程基于OBS Browser版本 3.4.3 进行。下载地址:https://obstool-north.obs.myhwclouds.com/browser/hec/win64/OBSBrowser.zip
1 IAM上创建用户并赋予OBS服务权限
账户权限规划:基于企业的应用场景,我们设定有三级权限管理系统
超级管理员: 华为云账户/密码;及其申请的 访问密钥(企业运维主管控制,可以界面登陆华为云,删除/修改其他用户权限)
一级用户: 超级管理员创建的用户,具有对象存储的桶完全控制权限,用于企业中给二级用户进行桶目录权限配置的管理员使用。
二级用户: 超级管理员创建的用户,只具有基本对象存储OBS Viewer权限,更多目录访问权限需要由 一级用户或超级管理员来分配。
在本章节您将会完成如下几个动作:
创建一二级用户;
创建一二级用户组;
授予一级用户管理OBS服务权限
建议:
先在本地表格中规划好需要使用的用户名和权限分配,并做好访问密钥的记录;例如:
| 用户名 | 归属用户组 | AccessKeyID | AccessSecurityKeyID | OBS服务权限 | OBS目录&权限 | OBS桶名 |
| OBS_Mgt-01 | OBS_Mgt | LT****** | SK******* | Tenant Administrator | ALL | ALL |
| OBS_Analysis-01 | OBS_Analysis | LT****** | SK******* | OBS viewer | Wuhan_01/(Read) | obsslef-whb |
| OBS_Analysis-02 | ||||||
| OBS_Analysis-03 |
1.1创建一/二级用户
使用华为云注册的主账户登陆华为云IAM服务控制台,https://console.huaweicloud.com/iam/ ;并点击创建用户,如下图所示:
创建用户,凭证类型选择 “访问密钥”,输入规划好的用户名 并点击确定后弹出 “下载访问密钥”的创建,点击确定下载密钥文件,将密钥信息保存至之前规划好的表格中进行记录。
如此反复,创建好所有已规划的一二级用户。并将用户名访问密钥记录至表格。
1.2创建一/二级用户组
按照如下步骤描述将完成一级/二级用户组的创建,本示例只给出二级用户组创建过程,一级用户组创建类似进行即可。
点击用户组--->创建用户组,输入用户组名称,点击确定。
下面需要将用户都加入到用户组中。
在上一步骤创建的用户组对应的右侧 点击“用户管理”,勾选之前创建的用户并点击“确定”, 用户加入用户组完毕。
1.3给一级用户及用户组赋予管理权限
一级用户/用户组创建好后,需要给予其进行权限配置,使其能够有管理权限;本节描述此部分设置方式。
点击用户组(OBS_Mgt)右侧--->“权限配置”,全局服务-->对象存储服务-->设置策略-->Tenant Administrator;然后点击“确定”完成权限配置。
权限配置
设置策略
赋予权限
2 一级用户ak sk 登陆OBS Browser给二级用户设置访问策略
下载OBS Browser后,进行账户登录.
账户名:OBS_Mgt-01 #可以根据自己喜好定义,建议和之前规划用户名保持一致
存储服务:OBS服务
Access Key ID:AF******
Secret Access Key: Z*************
登陆后进入需要进行权限配置的业务桶,选择对应的目录。点击右侧 盾型图标进行权限配置。如下图所示
3 二级用户使用ak sk 登陆OBS Browser进行数据访问
经过以上步骤之后我们的权限设置以及完成,那么可以在终端用户侧进行使用。这儿以上文中的OBS_Analysis-01用户和目录wuhan_01进行举例。
下载OBS Browser后,进行账户登录.
账户名:OBS_Analysis-01 #可以根据自己喜好定义,建议和之前规划用户名保持一致
存储服务:OBS服务
Access Key ID:X2******
Secret Access Key: Y*************
访问路径:obsslef-whb/wuhan_01/ # 规则是:桶名/目录名/
点击确定后,登录此用户 可以看到进入到此目录下文件。
验证:上传对象会阻止,没有权限;下载文件允许。整体业务部署成功。
上传失败:
下载成功:
--结束
- 点赞
- 收藏
- 关注作者
评论(0)