OBS实践指南:针对“相同账户下的不同用户”和“不同账户下的指定用户”的目标桶访问控制权限的设置

举报
晓望峰 发表于 2019/06/10 01:34:59 2019/06/10
【摘要】 华为云OBS服务客户,可以通过“IAM用户组权限”和“OBS桶的高级策略”两级控制策略,实现对指定的OBS桶或对象进行快速的访问控制,从而满足客户如下两种常见的资源访问控制需求。

华为云OBS服务客户,可以通过“IAM用户组权限”和“OBS桶的高级策略”两级控制策略,实现对指定的OBS桶或对象进行快速的访问控制,从而满足客户如下两种常见的资源访问控制需求。


首先提醒客户的是两种控制策略的生效机制有所差别:

1、IAM用户组权限配置或修改完成后,需要等待10分钟以上,新的权限策略才会生效

2、OBS桶的策略配置或修改完成后,即时生效


需求一:对同一个账户下的不同用户,设定对目标OBS桶或对象的访问控制

  • 控制设置步骤

    步骤一:由企业账户管理员账号登录IAM服务控制台,首先创建不同的用户组,并为各个用户组设置不同的OBS服务权限策略(当前IAM中已有的三种四种系统级OBS服务策略为“OBS Viewer”、“OBS Operator”、“OBS Buckets Viewer”和“Tenant Administrator”),然后将本账户下不同的用户分到不同的用户组中——这就是粗粒度的用户级权限控制,即所谓的“大权限”

    步骤二:由企业账户管理员账号登录OBS服务控制台,首先选定目标桶,进行桶策略高级配置,在其中针对目标桶或目标桶内对象,进行指定用户的访问权限设定——这就是细粒度的桶级权限控制,即所谓的“小权限”

  • 控制设置策略:

    • 预期用户组默认对所有OBS桶有较大的访问权限,限制个别用户对指定桶有较小的访问权限—— 放宽“大权限”,收紧“小权限”

    • 预期“用户组默认对所有OBS桶有较小的访问权限,放宽个别用户对指定桶有较大的访问权限”—— 收紧“大权限”,放宽“小权限”

    • 如果预期介于二者之间,则建议细化用户组,将每个用户组尽可能地划分入以上两种预期中


  • IAM策略(大权限)设置示例:
    IAM服务中默认支持三种OBS服务相关的系统策略:OBS Buckets ViewerOBS OperatorOBS Viewer,以及有最大权限的 Tenant Administrator 策略

    image.png

    每一种系统策略实际上都是通过符合一定规范和语法的策略描述信息来定义的

    image.png

  • OBS桶高级策略(小权限)设置示例

    自定义模式”允许进行最大自由度的桶和桶内对象的访问策略
    image.png

    这里需要特别注意的是“资源”选项涉及“桶资源”和“桶内对象资源”两类的访问策略控制——将鼠标挪至“资源”标题后的小问号图标悬停,可以看见详细的提示信息
    image.png

    image.png


    !!重要提示:如果需要同时对桶和桶内的对象进行控制访问,则必须创建两条策略,一条配置“桶资源”(资源名称中什么也不填),另一条位置“对象资源”(资源名称中填写对象名或通配符),如下图所示

    image.png


需求二:对不同账户下的用户,设定对目标OBS桶或对象的访问控制

  • 控制设置步骤

    步骤一:因为不涉及本账号下的用户组用户,因此也就不存在设置“大权限”的步骤了,直接调至步骤二

    步骤二:由企业账户管理员账号登录OBS服务控制台,首先选定目标桶,进行桶策略高级配置,在其中针对目标桶或目标桶内对象,进行指定账户和用户的细粒度的桶级权限控制,即直接设置“小权限”

  • OBS桶高级策略(小权限)设置示例

    image.png

  • 重要提示:如果需要同时对桶和桶内的对象进行控制访问,则仍然必须创建两条策略,一条配置“桶资源”(资源名称中什么也不填),另一条位置“对象资源”(资源名称中填写对象名或通配符)

    image.png

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。