OBS实践指南:针对“相同账户下的不同用户”和“不同账户下的指定用户”的目标桶访问控制权限的设置
【摘要】 华为云OBS服务客户,可以通过“IAM用户组权限”和“OBS桶的高级策略”两级控制策略,实现对指定的OBS桶或对象进行快速的访问控制,从而满足客户如下两种常见的资源访问控制需求。
华为云OBS服务客户,可以通过“IAM用户组权限”和“OBS桶的高级策略”两级控制策略,实现对指定的OBS桶或对象进行快速的访问控制,从而满足客户如下两种常见的资源访问控制需求。
首先提醒客户的是两种控制策略的生效机制有所差别:
1、IAM用户组权限配置或修改完成后,需要等待10分钟以上,新的权限策略才会生效
2、OBS桶的策略配置或修改完成后,即时生效
需求一:对同一个账户下的不同用户,设定对目标OBS桶或对象的访问控制
控制设置步骤:
步骤一:由企业账户管理员账号登录IAM服务控制台,首先创建不同的用户组,并为各个用户组设置不同的OBS服务权限策略(当前IAM中已有的三种四种系统级OBS服务策略为“OBS Viewer”、“OBS Operator”、“OBS Buckets Viewer”和“Tenant Administrator”),然后将本账户下不同的用户分到不同的用户组中——这就是粗粒度的用户级权限控制,即所谓的“大权限”
步骤二:由企业账户管理员账号登录OBS服务控制台,首先选定目标桶,进行桶策略高级配置,在其中针对目标桶或目标桶内对象,进行指定用户的访问权限设定——这就是细粒度的桶级权限控制,即所谓的“小权限”
控制设置策略:
预期“用户组默认对所有OBS桶有较大的访问权限,限制个别用户对指定桶有较小的访问权限”—— 放宽“大权限”,收紧“小权限”
预期“用户组默认对所有OBS桶有较小的访问权限,放宽个别用户对指定桶有较大的访问权限”—— 收紧“大权限”,放宽“小权限”
如果预期介于二者之间,则建议细化用户组,将每个用户组尽可能地划分入以上两种预期中
IAM策略(大权限)设置示例:
IAM服务中默认支持三种OBS服务相关的系统策略:OBS Buckets Viewer,OBS Operator,OBS Viewer,以及有最大权限的 Tenant Administrator 策略
每一种系统策略实际上都是通过符合一定规范和语法的策略描述信息来定义的
OBS桶高级策略(小权限)设置示例
“自定义模式”允许进行最大自由度的桶和桶内对象的访问策略
这里需要特别注意的是“资源”选项涉及“桶资源”和“桶内对象资源”两类的访问策略控制——将鼠标挪至“资源”标题后的小问号图标悬停,可以看见详细的提示信息!!重要提示:如果需要同时对桶和桶内的对象进行控制访问,则必须创建两条策略,一条配置“桶资源”(资源名称中什么也不填),另一条位置“对象资源”(资源名称中填写对象名或通配符),如下图所示
需求二:对不同账户下的用户,设定对目标OBS桶或对象的访问控制
控制设置步骤:
步骤一:因为不涉及本账号下的用户组用户,因此也就不存在设置“大权限”的步骤了,直接调至步骤二
步骤二:由企业账户管理员账号登录OBS服务控制台,首先选定目标桶,进行桶策略高级配置,在其中针对目标桶或目标桶内对象,进行指定账户和用户的细粒度的桶级权限控制,即直接设置“小权限”
OBS桶高级策略(小权限)设置示例
重要提示:如果需要同时对桶和桶内的对象进行控制访问,则仍然必须创建两条策略,一条配置“桶资源”(资源名称中什么也不填),另一条位置“对象资源”(资源名称中填写对象名或通配符)
【声明】本内容来自华为云开发者社区博主,不代表华为云及华为云开发者社区的观点和立场。转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
作者其他文章
- 《大话华为云OBS+IAM权限控制》连载 (二十四):对同一个用户组,建议不要同时进行IAM全局级授权和EPS项目级授权
- 《大话华为云OBS+IAM权限控制》连载 (二十五):已知用户名/密码,生成临时AK/SK构造OBS客户端的Python参考实现
- 《大话华为云OBS+IAM权限控制》连载 (二十三):通过EPS项目的用户和资源管理,可实现让指定用户只可见部分指定资源的效果
- 《大话华为云OBS+IAM权限控制》连载 (二十):企业项目服务(EPS)是对企业人力和物力资源进行逻辑管理的有效手段
- 《大话华为云OBS+IAM权限控制》连载 (二十二):一个云服务资源只能属于一个EPS项目,但一个IAM用户组可同时属于多个项目
评论(0)