OBS中配置子账号权限实践
OBS中配置子账号权限实践
注:本文实践目的,配置子账号可以登录OBS查看桶,查看对象(文件),上传对象(文件),新建对象,但是无法操作任何关于删除对象的操作
1创建子账号
1.1获取子账号
登录华为云管理控制台,找到右上角用户名,点击选择“统一身份认证”进入下一步
1.2创建用户
此步骤用于创建子账号,在配置中所选用户组,选择power_user(拥有除了用户管理外所有权限的用户组)点击确认
1.3.获取子账号的Ak、SK
退出当前登录的主账号,使用上步骤创建的子账号(即IAM账户)登录华为云,之后点击用户名下的“我的凭证”——“管理访问密钥”——“新增访问密钥”——下载获取子账号的ak,sk文件备用
2.使用OBS Browser登录(可选)
2.1下载OBS Browser客户端
客户端下载地址可以在OBS控制台进行下载,如下图,也可以点击此处(Win 64位) 、MAC
之后使用之前获取的子账号AK 、SK信息进行登录客户端即可。
3.设置桶策略
高级设置下提供三种增加桶策略的方式,方便用户快速设置桶策略。
只读模式:被授权用户将拥有桶内指定对象的读权限,对应可以执行获取对象内容及元数据操作。
读写模式:被授权用户将拥有桶内指定对象的读写权限,对应可以执行获取对象内容及元数据、上传对象、删除对象等操作。
自定义模式:自定义配置被授权用户可以拥有桶或对象的操作权限,由效果、被授权用户、资源、动作和条件5个桶策略基本参数共同决定。
如果桶ACL和桶策略同时使用且两者的授权判定产生冲突时,以桶策略>桶ACL的优先级顺序决定授权结果。桶ACL只能对账号授权,桶策略可以对账号或者账号下的用户授权。
3.1 主账号登录OBS控制台
使用华为云主账号登录OBS控制台,选择需要配置权限的桶,本示例以obs-moviess这个名称作为参考。点击进入此桶,选择“权限”——桶策略下通用设置,选择“私有”——高级设置点击“增加桶策略”,之后进入下一步桶策略设置
3.2桶策略参数设置
策略模式:自定义模式
效果:deny
被授权用户:包含
当前账号(选择之前创建的子账号)
资源:包含
选择哪些资源受此条策略限制,此处是* ,表示桶中所有资源
动作:包含
DeleteObject
DeleteObjectVersion
条件:可选,如有其他个性化动作控制,可以参考文档设置,链接
最后点击确认即可
ACL权限 | 选项 | 对应桶策略高级设置中的动作 |
桶访问权限 | 读取权限 | · HeadBucket(判断桶是否存在) · ListBucket(列举桶内对象,获取桶元数据) · ListBucketVersions(列举桶内多版本对象) · ListBucketMultipartUploads(列举多段上传任务) |
写入权限 | · PutObject(PUT上传,POST上传,上传段,初始化上传段任务,合并段) · DeleteObject(删除对象) · DeleteObjectVersion(删除特定版本的对象) |
4.验证
4.1删除验证
桶的策略完成后,在主账号中上传一个测试文件test.txt ,可以随便写点内容在里面,如:“hello,我是一个文本”
在子账号登录的OBS客户端中,刷新,尝试删除操作,发现删除失败,客户端给出提示“拒绝访问,请检查相应权限”
4.2上传验证
上传一个test2 文本,可以上传成功,如下图
4.3下载验证
点击桶中下载按钮,是可以弹出选择保存的目录,下载到本地
- 点赞
- 收藏
- 关注作者
评论(0)