《大话华为云OBS+IAM权限控制》连载 (十九):通过可视化视图勾选配置IAM的OBS细粒度权限时容易混淆出错的注意点
【摘要】 IAM的OBS细粒度权限配置时,可视化视图的ReadOnly、ReadWrite、ListOnly、Permissions 四大类操作所包含的Actions,并不完全如分类单词含义那样准确(例如想要达到“可读写”权限的效果,不能只勾选ReadWrite,还必须同时勾选ReadOnly和ListOnly的部分项),必须仔细关注每个Action细节
在IAM Web控制台上,针对某一个云服务创建新的IAM权限策略时,其可视化视图中会统一将Actions操作分为最多 ReadOnly、ReadWrite、ListOnly、Permissions 等四大类,对于OBS服务也同样如此,如下所示:
但是需要特别注意的是,这四大类的规则之间其实是没有继承性的,四大类对应的英文单词含义,和真正用户预期包含的权限Action项也并不完全一致。
例如,客户如果希望策略为达到的效果为通常意义上的“只读”,除了需要勾选 ReadOnly 之外,还需要 ListOnly 中的 obs:bucket:ListAllMyBuckets 和 obs:bucket:ListBucket 操作项
Ø 如果没有obs:bucket:ListAllMyBuckets 将无法列举所有桶。特别提醒,添加 ListAllMyBuckets 需要在此IAM权限中单独创建一条规则,并选择“所有资源”,详见连载(十七)
Ø 如果没有 obs:bucket:ListBucket 将无法列举桶内对象
这两个操作Action对于通过Web页面访问OBS会产生致命影响,因为用户进入OBS控制台之后,默认首先就会执行列举桶操作,进入目标桶之后默认就会执行列举桶内对象操作——这也达不到通常用户所期待的真正的“只读”的效果
再例如,如果客户希望策略为通常意义上的“可读可写”,则需要同时勾选 ReadOnly、ReadWrite、ListOnly 中的各目标项,而不是仅仅勾选一个 ReadWrite,因为客户现实中希望的“可读可写”权限,一般包含普通意义上的增、删、改、查四类操作,ReadWrite项下只包含了增、删、改的操作项,而没有ReadOnly、ListOnly中的“查”操作项。
【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
作者其他文章
- 《大话华为云OBS+IAM权限控制》连载 (二十四):对同一个用户组,建议不要同时进行IAM全局级授权和EPS项目级授权
- 《大话华为云OBS+IAM权限控制》连载 (二十五):已知用户名/密码,生成临时AK/SK构造OBS客户端的Python参考实现
- 《大话华为云OBS+IAM权限控制》连载 (二十三):通过EPS项目的用户和资源管理,可实现让指定用户只可见部分指定资源的效果
- 《大话华为云OBS+IAM权限控制》连载 (二十):企业项目服务(EPS)是对企业人力和物力资源进行逻辑管理的有效手段
- 《大话华为云OBS+IAM权限控制》连载 (二十二):一个云服务资源只能属于一个EPS项目,但一个IAM用户组可同时属于多个项目
评论(0)