【云小课】基础服务第39课 模拟典型场景,轻松管理权限(OBS权限管理介绍下篇)
在OBS权限管理介绍(上篇)中,我们一起了解了为什么要对OBS存储的数据进行权限控制,以及如何进行权限控制。通过配置权限,能够灵活控制OBS资源的使用。
光说不练假把式,OBS权限管理功能强大花样多,今天咱们就挑几个典型的应用场景一起模拟下。
本文前三个场景分别介绍了桶拥有者如何为IAM用户、其他账号和匿名用户授予桶权限。最后,我们会介绍一下如何限制来访IP。废话不多说,我们开始吧!
场景一、桶拥有者为IAM用户授予桶权限(同账号授权)
您在工作中一定遇到过这种情况,项目组中想要共享一些资料,这时候就可以通过OBS权限管理实现。
桶拥有者(主账号)可以为IAM用户授予桶权限,授予桶权限之后,IAM用户就可以访问桶。
由项目负责人掌管主账号,其他成员可以设置为IAM用户并且授予访问桶的权限,这样就可以实现项目组内资料共享啦。
在本场景下,您可以使用IAM策略,授予IAM用户OBS只读(OBS ReadOnlyAccess)权限,详细操作步骤请看这里。
场景二、桶拥有者为其他账号授予桶权限(跨账号授权)
桶拥有者可以通过配置桶策略授予其他账号或其他账号下IAM用户桶的权限。
在场景一中,我们了解了如何在项目组内共享资料。如果您的项目组被评为先进项目组,公司要把你们的资料共享给其他项目组或者个人进行学习,那就是我们场景二要讲的内容了。
假设情况再变得复杂一点,公司要求每个人学习并上交一篇学习心得。这时候就需要主账号既授予访问桶的权限,又授予上传对象的权限。
为其他账号或其他账号下IAM用户授予桶权限需要为目标桶创建桶策略并配置参数,详细操作步骤请看这里。
场景三、为匿名用户设置权限
在默认状态下,匿名用户是无法访问对象的。但是现实生活中你一定遇到过这种场景——需要所有人都能访问这些数据。
比如在某次大规模的流感中,使用OBS存储了大量全球各地的病例活动轨迹数据,这些数据需要对外开放供所有人查阅,这样大家才能获知病例的活动轨迹从而进行有效防护。在这种情况下,便可以为这部分数据设置匿名用户的读取权限,然后将这些数据对应的URL公开在网络上,所有人就可以使用这个URL访问或下载这些公开数据了。
为匿名用户设置对象的访问权限非常便捷,以控制台为例:单击待操作的对象并单击“对象ACL”,在“对象ACL>公共访问权限>匿名用户”中,单击“编辑”即可设置。详细操作步骤请看这里。
当一个文件夹下的对象都需要授权匿名用户访问权限时,可以通过桶策略和对象策略配置授予匿名用户访问文件夹内对象的权限。这种情况需要创建桶策略,详细操作步骤请参见这里。
这时候可能会有朋友说:我只想在某段时间内分享这些内容,不想一直处于公开状态。这个可以有!华为云OBS支持临时性分享存储的资源。临时性分享文件请参考这里;临时性分享文件夹请参考这里。
场景四、限制来访IP
在使用手机时,有一个非常实用的功能——设置通讯录黑名单拦截特定号码的呼叫。
OBS也可以进行类似的设置,为您的私密性提供保障。您可以通过桶策略设置,限制特定IP访问操作桶资源,表1 就是一个典型示例。
表1 限制来访IP示例
设置类型 |
说明 |
示例 |
设置前 |
设置后 |
限制来访IP |
通过桶策略可以限制特定IP对指定桶的访问权限。 |
设置拒绝来源IP为“114.115.1.0/24”网段的客户端访问桶。 |
任何网段的IP地址的客户端都可以访问桶。 |
使用114.115.1.0/24网段内的IP地址的客户端访问桶,访问被拒绝。 使用114.115.1.0/24网段外的IP地址的客户端可以访问桶。 |
限制来访IP需要创建桶策略,详细操作步骤请看这里。
以上四个场景大家是不是都理解了呢?其实OBS权限管理功能非常强大,大家可以一一试用。
如果大家有什么不懂的地方或者新的发现,欢迎在评论区留言,我们下期见~
更多基础服务云小课,请点击基础服务云小课汇总。
- 点赞
- 收藏
- 关注作者
评论(0)