【教程】云存储基于不同层级用户权限管理设置实现桶中目录级访问控制分发能力

举报
shan0304 发表于 2019/05/06 11:29:30 2019/05/06
【摘要】 背景当前公有云客户数据使用过程中,需要实现对下游客户或不同部门的数据访问权限的约束控制,那么为了更好的指引客户使用,特进行此场景的业务权限配置说明本教程基于OBS Browser版本 3.4.3 进行。下载地址:https://obstool-north.obs.myhwclouds.com/browser/hec/win64/OBSBrowser.zip1 IAM上创建用户并赋予OBS服务...

背景

当前公有云客户数据使用过程中,需要实现对下游客户或不同部门的数据访问权限的约束控制,那么为了更好的指引客户使用,特进行此场景的业务权限配置说明

本教程基于OBS Browser版本 3.4.3 进行。下载地址:https://obstool-north.obs.myhwclouds.com/browser/hec/win64/OBSBrowser.zip

1 IAM上创建用户并赋予OBS服务权限

账户权限规划:基于企业的应用场景,我们设定有三级权限管理系统

  •    超级管理员: 华为云账户/密码;及其申请的 访问密钥(企业运维主管控制,可以界面登陆华为云,删除/修改其他用户权限)

  •    一级用户:   超级管理员创建的用户,具有对象存储的桶完全控制权限,用于企业中给二级用户进行桶目录权限配置的管理员使用。

  •    二级用户:   超级管理员创建的用户,只具有基本对象存储OBS Viewer权限,更多目录访问权限需要由 一级用户或超级管理员来分配。

  

在本章节您将会完成如下几个动作

  •   创建一二级用户;

  •   创建一二级用户组;

  •   授予一级用户管理OBS服务权限


建议

       先在本地表格中规划好需要使用的用户名和权限分配,并做好访问密钥的记录;例如:


用户名归属用户组AccessKeyIDAccessSecurityKeyIDOBS服务权限OBS目录&权限OBS桶名
OBS_Mgt-01OBS_MgtLT******SK*******Tenant  AdministratorALLALL
OBS_Analysis-01OBS_AnalysisLT******SK*******OBS viewerWuhan_01/(Read)obsslef-whb
OBS_Analysis-02





OBS_Analysis-03






1.1创建一/二级用户

使用华为云注册的主账户登陆华为云IAM服务控制台,https://console.huaweicloud.com/iam/  ;并点击创建用户,如下图所示:


 image.png


创建用户,凭证类型选择 “访问密钥”,输入规划好的用户名  并点击确定后弹出 “下载访问密钥”的创建,点击确定下载密钥文件,将密钥信息保存至之前规划好的表格中进行记录。


 image.png


如此反复,创建好所有已规划的一二级用户。并将用户名访问密钥记录至表格。


1.2创建一/二级用户组

   

按照如下步骤描述将完成一级/二级用户组的创建,本示例只给出二级用户组创建过程,一级用户组创建类似进行即可。


点击用户组--->创建用户组,输入用户组名称,点击确定。

 image.png

 

image.png


下面需要将用户都加入到用户组中。

在上一步骤创建的用户组对应的右侧 点击“用户管理”,勾选之前创建的用户并点击“确定”,  用户加入用户组完毕。

 image.png




1.3给一级用户及用户组赋予管理权限


 一级用户/用户组创建好后,需要给予其进行权限配置,使其能够有管理权限;本节描述此部分设置方式。


点击用户组(OBS_Mgt)右侧--->“权限配置”,全局服务-->对象存储服务-->设置策略-->Tenant Administrator;然后点击“确定”完成权限配置。


  •   权限配置

 image.png


  • 设置策略



image.png


  • 赋予权限


image.png



2 一级用户ak sk 登陆OBS Browser给二级用户设置访问策略


下载OBS Browser后,进行账户登录.

账户名:OBS_Mgt-01  #可以根据自己喜好定义,建议和之前规划用户名保持一致

存储服务:OBS服务

Access Key ID:AF******

Secret Access Key: Z*************


image.png


登陆后进入需要进行权限配置的业务桶,选择对应的目录。点击右侧 盾型图标进行权限配置。如下图所示


image.png

3  二级用户使用ak sk 登陆OBS Browser进行数据访问

经过以上步骤之后我们的权限设置以及完成,那么可以在终端用户侧进行使用。这儿以上文中的OBS_Analysis-01用户和目录wuhan_01进行举例。

下载OBS Browser后,进行账户登录.

账户名:OBS_Analysis-01  #可以根据自己喜好定义,建议和之前规划用户名保持一致

存储服务:OBS服务

Access Key ID:X2******

Secret Access Key: Y*************

访问路径:obsslef-whb/wuhan_01/  # 规则是:桶名/目录名/

 

image.png

点击确定后,登录此用户 可以看到进入到此目录下文件。

 

image.png

验证:上传对象会阻止,没有权限;下载文件允许。整体业务部署成功。


上传失败:

 image.png

下载成功:

 

image.png


--结束




【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。