《大话华为云OBS+IAM权限控制》连载 (十九):通过可视化视图勾选配置IAM的OBS细粒度权限时容易混淆出错的注意点

举报
晓望峰 发表于 2020/02/05 23:27:18 2020/02/05
【摘要】 IAM的OBS细粒度权限配置时,可视化视图的ReadOnly、ReadWrite、ListOnly、Permissions 四大类操作所包含的Actions,并不完全如分类单词含义那样准确(例如想要达到“可读写”权限的效果,不能只勾选ReadWrite,还必须同时勾选ReadOnly和ListOnly的部分项),必须仔细关注每个Action细节

在IAM Web控制台上,针对某一个云服务创建新的IAM权限策略时,其可视化视图中会统一将Actions操作分为最多 ReadOnlyReadWriteListOnlyPermissions 等四大类,对于OBS服务也同样如此,如下所示:

image.png


但是需要特别注意的是,这四大类的规则之间其实是没有继承性的,四大类对应的英文单词含义,和真正用户预期包含的权限Action项也并不完全一致。


  • 例如,客户如果希望策略为达到的效果为通常意义上的“只读”,除了需要勾选 ReadOnly 之外,还需要 ListOnly 中的 obs:bucket:ListAllMyBucketsobs:bucket:ListBucket 操作项

        Ø   如果没有obs:bucket:ListAllMyBuckets 将无法列举所有桶。特别提醒,添加 ListAllMyBuckets 需要在此IAM权限中单独创建一条规则,并选择“所有资源”,详见连载(十七)

        Ø   如果没有 obs:bucket:ListBucket 将无法列举桶内对象

    这两个操作Action对于通过Web页面访问OBS会产生致命影响,因为用户进入OBS控制台之后,默认首先就会执行列举桶操作,进入目标桶之后默认就会执行列举桶内对象操作——这也达不到通常用户所期待的真正的“只读”的效果

  • 再例如,如果客户希望策略为通常意义上的“可读可写”,则需要同时勾选 ReadOnlyReadWriteListOnly 中的各目标项,而不是仅仅勾选一个 ReadWrite,因为客户现实中希望的“可读可写”权限,一般包含普通意义上的增、删、改、查四类操作,ReadWrite项下只包含了增、删、改的操作项,而没有ReadOnlyListOnly中的“查”操作项。

        

【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。