OBS实践指南:针对“相同账户下的不同用户”和“不同账户下的指定用户”的目标桶访问控制权限的设置
华为云OBS服务客户,可以通过“IAM用户组权限”和“OBS桶的高级策略”两级控制策略,实现对指定的OBS桶或对象进行快速的访问控制,从而满足客户如下两种常见的资源访问控制需求。
首先提醒客户的是两种控制策略的生效机制有所差别:
1、IAM用户组权限配置或修改完成后,需要等待10分钟以上,新的权限策略才会生效
2、OBS桶的策略配置或修改完成后,即时生效
需求一:对同一个账户下的不同用户,设定对目标OBS桶或对象的访问控制
控制设置步骤:
步骤一:由企业账户管理员账号登录IAM服务控制台,首先创建不同的用户组,并为各个用户组设置不同的OBS服务权限策略(当前IAM中已有的三种四种系统级OBS服务策略为“OBS Viewer”、“OBS Operator”、“OBS Buckets Viewer”和“Tenant Administrator”),然后将本账户下不同的用户分到不同的用户组中——这就是粗粒度的用户级权限控制,即所谓的“大权限”
步骤二:由企业账户管理员账号登录OBS服务控制台,首先选定目标桶,进行桶策略高级配置,在其中针对目标桶或目标桶内对象,进行指定用户的访问权限设定——这就是细粒度的桶级权限控制,即所谓的“小权限”
控制设置策略:
预期“用户组默认对所有OBS桶有较大的访问权限,限制个别用户对指定桶有较小的访问权限”—— 放宽“大权限”,收紧“小权限”
预期“用户组默认对所有OBS桶有较小的访问权限,放宽个别用户对指定桶有较大的访问权限”—— 收紧“大权限”,放宽“小权限”
如果预期介于二者之间,则建议细化用户组,将每个用户组尽可能地划分入以上两种预期中
IAM策略(大权限)设置示例:
IAM服务中默认支持三种OBS服务相关的系统策略:OBS Buckets Viewer,OBS Operator,OBS Viewer,以及有最大权限的 Tenant Administrator 策略
每一种系统策略实际上都是通过符合一定规范和语法的策略描述信息来定义的
OBS桶高级策略(小权限)设置示例
“自定义模式”允许进行最大自由度的桶和桶内对象的访问策略
这里需要特别注意的是“资源”选项涉及“桶资源”和“桶内对象资源”两类的访问策略控制——将鼠标挪至“资源”标题后的小问号图标悬停,可以看见详细的提示信息!!重要提示:如果需要同时对桶和桶内的对象进行控制访问,则必须创建两条策略,一条配置“桶资源”(资源名称中什么也不填),另一条位置“对象资源”(资源名称中填写对象名或通配符),如下图所示
需求二:对不同账户下的用户,设定对目标OBS桶或对象的访问控制
控制设置步骤:
步骤一:因为不涉及本账号下的用户组用户,因此也就不存在设置“大权限”的步骤了,直接调至步骤二
步骤二:由企业账户管理员账号登录OBS服务控制台,首先选定目标桶,进行桶策略高级配置,在其中针对目标桶或目标桶内对象,进行指定账户和用户的细粒度的桶级权限控制,即直接设置“小权限”
OBS桶高级策略(小权限)设置示例
重要提示:如果需要同时对桶和桶内的对象进行控制访问,则仍然必须创建两条策略,一条配置“桶资源”(资源名称中什么也不填),另一条位置“对象资源”(资源名称中填写对象名或通配符)
- 点赞
- 收藏
- 关注作者
评论(0)