《大话华为云OBS+IAM权限控制》连载 (一):白话云平台、云服务、IAM服务、云账户之间的“生意关系”
华为云平台——云服务交易市场
华为云账户(Tenant)——在云市场中注册的企业老板
华为云服务——云市场中的各个服务提供商,卖给企业老板的是它提供的部分云服务资源的使用权
华为云的IAM服务——云市场中的服务提供商之一,其特殊之处在于,每一个云上企业注册后就由云平台自动为该企业分配了IAM服务资源。在各个企业的IAM服务资源中,维护着本企业所购买的所有云服务资源的一切使用权细节信息。
云账户A购买云服务S——企业A老板向华为云市场中的云服务提供商S订购了一定规格的S云服务资源使用权。
特别注意的是,云服务S是一个在线产品,企业客户要使用其购买的云服务S资源时,具体的操作细节实际是云平台上的S服务提供商来执行的,这些执行细节有可能仅仅只是S服务提供商自己就能完成的,也有可能需要访问客户有权使用的其他云服务资源,这点对于理解云服务类型的IAM委托是非常重要的。
企业A管理员对用户组或者委托进行S服务资源的授权——如前所述,企业A的IAM服务资源中,维护着本企业购买的S服务资源的使用权信息,所以管理员的每一次权限配置,本质就是对此使用权信息的新增、删除或更新
使用S云服务资源的客户包括两类——云企业员工(对应的授权对象既可以是“IAM用户组”,也可以是“账号类型的IAM委托”),或另一个云服务提供商T(对应的授权对象只能是“云服务类型的IAM委托”)
客户申请使用某个S云服务资源的流程——客户(注意是“客户”而不是用户)向云平台上的S服务提供商发送请求,申请对目标的S服务子资源进行访问,申请中包含了客户提供的认证信息,此申请是否能够通过,需要依次进行以下步骤:
申请访问的目标是某个S服务的子资源,所以需要由S服务供应商(以下简称“S服务”)来处理此请求
S服务向云平台上的IAM服务发出权限校验请求,其中包括申请者的认证信息(例如AK/SK、token等)、申请的目标S服务子资源信息(例如目标OBS桶等)、申请的操作信息(例如读、写、列举等)等;
IAM服务可知申请访问的目标S服务资源归属于哪个IAM账户,于是在该账户的IAM服务资源记录的权限信息中,检查申请客户是否有访问目标S服务资源的权限
IAM服务会将检查结果告知S服务,如果检查没有通过,S服务会直接拒绝客户的申请
(可选)如果步骤3检查通过,则S服务还可能进行本服务内部的权限控制检查(例如OBS桶自身的权限控制机制)
- 点赞
- 收藏
- 关注作者
评论(0)