【存储】十分钟从入门到精通（上）——对象存储服务OBS权限配置实践

作为公有云的数据底座，大量的应用场景产生的数据都会存储到OBS对象存储服务中，如直播、电商、大数据可视化、机器学习、物联网等。作为公有云的海量存储基础服务， OBS提供了灵活的权限配置功能，解决如共享少部分数据，或者数据全部托出等实际应用场景的管理诉求。

OBS目前有四种权限管理的方式供大家来选择，可以满足您对权限管理的需求。如果您需要设置更复杂的权限策略，控制子用户使用，通过阅读以下内容，四种方式配合使用效果更佳。

以下依次讲解四种方式的使用方式和特点：

1.    统一身份认证服务(IAM)——设置用户组对桶的访问权限，适用于管理多部门人员对OBS资源的访问权限。

2.    企业项目管理——用户只能列举到”自己”的桶。适用多企业项目，需要配合IAM权限。

3.    高级桶策略——实时生效，简单粗暴。适用单个桶灵活设置权限，可以指定任何人用。

4.    ACL——指定账户共享，范围小于高级桶策略，但是共享资源更精确。适用于对单个文件有共享读写需求的场景。

  统一身份认证服务

  介绍:

        IAM是一个总开关（相当于一个大超市，提供平台和规则的），各个服务（包括OBS）如果需要提供细粒度服务，就需要和IAM合作（按照IAM细粒度平台的规则），把自己的细粒度控制加入到IAM功能中（相当于超市中入住的品牌）。如果想详细的了解下IAM可参考https://support.huaweicloud.com/usermanual-obs/obs_03_0110.html

       OBS系统权限：

   应用场景:如下为 OBS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。https://support.huaweicloud.com/productdesc-obs/obs_03_0045.html。

   系统权限和系统角色已经满足大部分使用OBS的场景，但是仍有高端玩家想通过手术刀般精确的方式控制用户组和OBS桶\资源\操作\请求条件的权限，那么IAM权限配置的奥义，duang！的一声出现在您面前——自定义权限配置。

   自定义权限配置:

1.         可视化视图创建

        IAM的OBS细粒度权限配置时，可视化视图分为ReadOnly、ReadWrite、ListOnly、Permissions 四大类操作分类，需要仔细关注Action。如下图所示。

特别注意：

这四大类的规则之间其实是没有继承性的，并且包含的相关Action项也并不完全。例如，客户如果只希望策略为允许“只读”，除了需要勾选 ReadOnly 之外，还需要 ListOnly 中的 obs:bucket:ListAllMyBuckets 和 obs:bucket:ListBucket 操作项。

l  没有obs:bucket:ListAllMyBuckets将无法列举所有桶——这对于通过Web页面访问OBS会产生致命影响，因为无法进入OBS控制台，但是对于API访问OBS服务没有影响。

l  没有obs:bucket:ListBucket 将无法列举桶内对象——这对于大数据业务中批量操作对象“列举目录”的操作是必须的。

再例如，如果客户希望策略为允许“读写”，则需要同时勾选 ReadOnly、ReadWrite、ListOnly 中的各目标项，而不是仅仅勾选一个 ReadWrite，如下图所示

2.         JSON视图创建：

策略语法参数:：https://support.huaweicloud.com/usermanual-obs/obs_03_0110.html

对象相关授权列表：https://support.huaweicloud.com/api-obs/obs_04_0112.html

例OBS OperateAccess的json模式：

 自定义策略示例样例：

   此策略表示用户可以对OBS进行任何操作。

    {

        "Version": "1.1",

        "Statement": [

            {

                "Effect": "Allow",

                "Action": [

                    "obs:*:*"

                ]

            }

        ]

    }

   其他自定义策略样例详见：

         https://support.huaweicloud.com/usermanual-obs/obs_03_0121.html

   自定义权限书写注意事项:

         https://support.huaweicloud.com/usermanual-obs/obs_03_0154.html；

   应用案例：

   配置某一个子用户，通过IAM权限设置，只能从源ip:100.125.125.125访问桶:obs-test，并且只有只读权限(包括查询桶ACL，桶策略，桶cors的权限等)。

   步骤1：配置特定操作

   步骤2：配置特定资源：

   步骤3：配置特定条件，如图中只限制了100.125.125.125的ip对OBS具有访问权限

   建议采用最小权限原则，避免数据泄露，造成不必要的损失。

   注意事项:

1.    OBS细粒度特性白名单

当前要开通IAM的OBS细粒度权限控制特性，务必记得要申请将目标账号加入在目标Region的OBS细粒度特性白名单：

当前IAM细粒度这个超市还处于试用期，OBS这个品牌是一个全局品牌（对应于全局服务概念），但是每个OBS商品是不同地方的生产厂生产的，当前在IAM细粒度超市试用期，OBS商品入驻超市之后，并不是任何一个人都随意买，而是需要在白名单中的人才能买，并且这个白名单当前是按照Region来制作的，四川的客户只能买四川省生成的OBS产品，广东省客户只能买广东省生产的OBS商品，所以需要使用OBS细粒度的客户，必须要申请加入这个白名单（截止2020/2/4）。申请方式如下：

https://support.huaweicloud.com/usermanual-obs/obs_03_0110.html

   说明：

l  Resource（资源）级别细粒度授权特性会逐步在各个区域上线，需要使用该特性时请确保桶所在区域已经支持。

l  使用Resource（资源）级别细粒度授权特性前，请提交工单到OBS，申请开通Resource（资源）级别细粒度授权特性白名单。

2.    由于缓存的存在，IAM权限设置生效延迟

   说明：

   由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的角色后，大概需要等待13分钟角色才能生效；授予OBS相关的策略后，大概需要等待5分钟策略才能生效。

  企业项目管理:

  介绍：

  可实现企业项目级别资源隔离，不同企业项目的用户只能列举自己的桶。创建企业项目à迁入资源à添加组à配置权限策略

  应用案例：

  配置某一个子用户，通过多企业项目+IAM权限，实现单用户对某一个桶有所有权限：

  步骤1：IAM控制台创建一个子账号，一个用户组，并把子账号加入到该组；

  步骤2：登录进企业项目管理，创建企业项目；

  步骤3：迁入指定的桶资源；

  步骤4：添加组；

  步骤5：配置权限策略；

  步骤6：配置成功

  注意：权限需要在企业项目管理侧配置，在IAM侧配置可能会导致不生效。